Cambios normativos en el email marketing

por

publicado el 2 abril 2012

Categorías: Comercio electrónico / LSSI / Normativa

Hoy entra en vigor el Real Decreto-ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista publicado el pasado sábado y que afecta a ciertos aspectos de la sociedad de la información. En esta caso vamos a hacer referencia a los cambios que se producen en el email marketing y que deberemos tener en cuenta desde hoy mismo si queremos realizar cualquier campaña de envío de comunciaciones comerciales electrónicas. A todo lo establecido ya en la LSSI hay que sumar lo regulado por este nuevo Real Decreto:

  1. Imposibilidad de ocultar la identidad del remitente de la comunicación comercial. En ingún caso se podrán realizar campañas de email marketing ocultando la identidad del remitente real de la misma.
  2. Prohibición de campañas de email marketing que incitan a visitar páginas de internet y se realizan sin cumplir las exigencias de consentimiento ni identificación como “publicidad”. Esto hace pensar en la prohibición de muchas campañas de viralización donde con la apariencia de envío de un email con un enlace o un consejo de visitar una web realmente existe una campaña clara de publicidad y prospección comercial. «4. En todo caso, queda prohibido el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación o que contravengan lo dispuesto en este artículo, así como aquéllas en las que se incite a los destinatarios a visitar páginas de Internet que contravengan lo dispuesto en este artículo.»
  3. Inclusión de una cuenta de correo válida en las campañas realizadas. Tal y como comentaba Javier Prenafeta no se podrán realizar campañas de email marketing desde cuentas de correo que no permitan la respuesta a los mismos, esto es, como aquellas que incluyen “no-reply”.
  4. Inclusión de un email donde el usuario pueda darse de baja o retirar en cualquier momento el consentimiento prestado para la recepción de comunicaciones comerciales. Si anteriormente se establecían sistemas como “para darse de baja pinche aquí”, ahora se tendrá que habilitar también un email para que el usuario pueda darse de baja o retirar su consentimiento.

El email sigue siendo un sistema muy poderoso y bueno para el marketing, sin embargo, quizá se necesita ya una regulación que supere lo establecido para el email (donde las bases están ya bastante aseguradas) y vaya determinando la forma de realizar estas campañas en las redes sociales, por ejemplo.

  • http://www.gontzalgallo.com Gontzal Gallo (@gongaru)

    Jorge, excelente resumen de las “nuevas”?? obligaciones. Coincido contigo en que quizás las obligaciones para el correo electrónico comercial están bien claras y habría que dar un salto a Facebook, Twitter, Google+,……

  • Pingback: Modificaciones en la LSSI en materia de cookies y comunicaciones comerciales | Descargas Legales()

  • Xavier Ribas

    Hola Jorge,

    ¿Estás seguro de los puntos 3 y 4?

    El RD habla de una dirección electrónica válida, pero no exige que sea una dirección de correo electrónico. Una URL es una dirección electrónica, por lo que entiendo que el sistema “para darse de baja pichel aquí” sigue siendo válido. Además, es más cómodo para el usuario, porque sólo exige un clic.

    Ello significa, a mi entender, que sería posible seguir enviando mensajes de correo electrónico con “no-reply” siempre que el mensaje incluya una dirección válida (URL o dirección de e-mail) en la que poder revocar el consentimiento.

    ¿Estás de acuerdo?

    Un abrazo,

    Xavier

  • http://www.jprenafeta.com Javier Prenafeta

    Lo mismo he comentado en el blog de David González pero repito para no perdernos, ya que es un tema interesante.

    Es cierto que una URL es una dirección electrónica, pero la versión en inglés de la Directiva 2009/136 dice “in any event, the practice of sending electronic mail [...] which do not have a valid address to which the recipient may send a request that such communications cease or which encourage recipients to visit websites that contravene that Article shall be prohibited.”

    A mi eso me da a entender que se pretente que se envíe una comunicación, no tanto de visitar o acceder a una web, por tanto serían direcciones de correo electrónico. Se podría haber simplificado en la misma frase y hablar de direcciones web…

    Y en esta línea, también se exige que la dirección sea válida, y para que lo sea debe admitir una respuesta. Por eso entiendo queda fuera el “noreply”.

    Pero si, podría estar más claro la verdad.

    Saludos y buen debate

  • Xavier Ribas

    Es verdad que la Directiva dice “send a request”, pero, en mi opinión, ello no impide enviar la solicitud vía web.

    El legislador español ha optado por dar al usuario unas facultades más amplias al hablar de ejercicio de derechos, de manera que pueda ejercitar sus derechos por ambos canales y no sólo por correo electrónico.

    Por ejemplo, las empresas de determinados sectores tienen la obligación de ofrecer a sus clientes la posibilidad de ejercitar los derechos ARCO en su web mediante DNI electrónico. ¿Vamos a decirle ahora a estas empresas que ya han hecho la inversión para adecuarse a la LISI, que si envían comunicaciones comerciales por correo electrónico sólo podrán recibir cancelaciones por correo electrónico?

    A mi, como usuario, me resulta más cómodo hacer clic en un enlace que gestione automáticamente la baja que respondiendo al mensaje. Además, hay ocasiones en que no se puede hacer reply. Por ejemplo cuando el inbox de Lotus Notes ha superado el tamaño máximo permitido.

    En cualquier caso, lo ideal sería que ambos sistemas pudiesen coexistir. Ello beneficiaría a todas las partes implicadas.

    Un abrazo.

  • http://derechoynormas.blogspot.com David

    Hola:

    repasando la Directiva estoy con Xavier Ribas, en el sentido de que también cabe manifestar la oposición por otras vías.

    Para mi los apartados del artículo 13 permiten sin problemas el establecimiento de ese mecanismo:

    En particular, el 4 admite una interpretación más adecuada a las prácticas más coómodas para el usuario:

    4. Se prohibirá, en cualquier caso, la práctica de enviar mensajes electrónicos con fines de venta directa en los que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación, o que contravengan lo dispuesto en el artículo 6 de la Directiva 2000/31/CE, o que no contengan una dirección válida a la que el destinatario pueda enviar una petición de que se ponga fin a tales comunicaciones o en los que se aliente a los destinatarios a visitar páginas web que contravengan el artículo 6 de la Directiva 2000/31/CE.

    Y no veo en la versión en inglés una diferencia que justifique la interpretación de Javier.

    “which do not have a valid address to which the recipient may send a request that such communications cease”

    Y es que dirección puede ser también una dirección web, además de tener la referencia a que esa dirección no dirija a webs que contravengan la Directiva de comercio electrónico. ¿Porqué esa mención si no fuese posible usar una URL?

    Como digo, personalmente no le veo problema a tener correos no-reply siempre y cuando en su contenido vaya una forma de manifestación de la oposición.

    Un saludo.

  • Pingback: Cuatro nuevas reglas para nuestras campañas de email marketing | Finanzas economia()

  • Alvaro Del Hoyo

    Buenas a todos,

    Estoy de acuerdo con la interpretación de Xavier.

    No obstante, es de destacar que se han de tomar en cuenta los riesgos de suplantación de identidad de usuarios bien en el alta de estos, o bien cuando se exige el derecho de rectificación, cancelación o incluso oposición.

    Echadle un vistazo a la diapositiva 20 de este documento de la 1º sesión abierta de la AEPD

    http://www.agpd.es/portalwebAGPD/jornadas/1_sesion_abierta/common/faqs_bloque_1.pdf

    En muchos casos estos ejercicios de derechos que consisten en un mero click sobre un enlace no solicitan autenticación posterior alguna, el mero click supone el ejercicio del derecho. Creo que es algo a revisar.

    Otro ejemplo. Como bien sabéis todos vosotros sería que alguien hiciera un spoof de la dirección de mail de un sujeto determinando por ejemplo para enviar un correo solicitando el derecho de acceso añadiendo también una copia escaneada de DNI (obviamente si comprobáramos la cabecera del correo veríamos como en el campo “reply-to” la dirección de destino no será la de nuestro usuario).

    O bien podría darse el caso de que alguien consiguiera hackear la dirección de mail de alguno de nuestros usarios y la usar para tratar de conseguir más datos que aquellos a los que acceda buscando en los mensajes almacenados en el buzón hackeado.

    Os recomiendo la lectura de este largo artículo que cuenta con todo lujo de detalles el hackeo de una cuenta de GMail, al tiempo que corráis a activar la autenticación de doble factor de Google si no lo habéis hecho ya ;-p

    http://www.theatlantic.com/magazine/archive/2011/11/hacked/8673/

    Por todo ello toma importancia haber cumplido con el art. 2.2 de la Ley 56/2007 (ejercicio de derechos mediante certificados reconocidos), o hacerlo a pesar de no ser un sujeto obligado por tal disposición.

    Un saludo