Con la entrada en vigor del GDPR, muchos profesionales del marketing se apresuran a adaptar sus estrategias de marketing online a la normativa. Por desgracia, como ocurre con la mayoría de los reglamentos, hay muchos requisitos que son confusos o ambiguos; uno de ellos es el tratamiento cuando se exige a los visitantes que faciliten su información de contacto para recibir acceso a contenidos restringidos (gated), como libros blancos e investigaciones.

¿QUÉ DICE EL REGLAMENTO?

El artículo 7 del Reglamento es muy claro cuando se trata de la recogida de información personal de residentes en la UE: Debe darse claramente el consentimiento para el tratamiento de los datos personales, el interesado debe ser consciente de cómo se utilizará la información, y debe tener la posibilidad de retirar el consentimiento en cualquier momento.

El cuarto párrafo del artículo 7 va más allá al decir:

Al evaluar si el consentimiento se da libremente, se tendrá en cuenta en la mayor medida posible si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, está condicionada al consentimiento para el tratamiento de datos personales que no sean necesarios para la ejecución de dicho contrato.

La conclusión clave del párrafo (y la que da más miedo a los vendedores) es que los servicios no pueden prestarse con la condición de que se faciliten datos personales si esos datos «no son necesarios para la ejecución de ese contrato [or service].»

¿SE PUEDE CONSIDERAR REALMENTE UN «SERVICIO» EL CONTENIDO CERRADO?

Hasta hace poco, había muchas interpretaciones diferentes del artículo 7. El contenido quid pro quo no constituye necesariamente un contrato o un servicio; muchos lo consideraban simplemente un intercambio en especie y que los visitantes, si eran claramente conscientes de la intención de recopilar datos, podían optar simplemente por no descargar el contenido.

Sin embargo, el Grupo de Trabajo del Artículo 29 publicó unas orientaciones revisadas en abril de 2018 que, aunque no abordan específicamente el contenido cerrado (y siguen sin ser completamente claras sobre lo que constituye un «servicio»), arrojan luz adicional sobre el tema. Varias afirmaciones, aunque no concluyan individualmente sobre el asunto, pintan colectivamente una imagen clara de la intención del reglamento:

  • La finalidad del tratamiento de los datos personales [should not be] encubierta ni vinculada a la prestación de un contrato de un servicio para el que estos datos personales no son necesarios.
  • Aunque el tratamiento de datos personales se base en el consentimiento del interesado, esto no legitimaría la recogida de datos que no sean necesarios en relación con una finalidad específica del tratamiento y sean fundamentalmente injustos. Cualquier elemento de presión o influencia inadecuada sobre el interesado (que puede manifestarse de muy diversas formas) que le impida ejercer su libre voluntad, invalidará el consentimiento.
  • El responsable del tratamiento tiene que demostrar que es posible denegar o retirar el consentimiento sin perjuicio. Por ejemplo, el responsable del tratamiento tiene que demostrar que retirar el consentimiento no conlleva ningún coste para el interesado y, por tanto, ninguna desventaja clara para quien retira el consentimiento.

El Grupo de Trabajo llega incluso a ofrecer varios ejemplos. Aunque ninguno aborda específicamente los contenidos bloqueados, el primero es el más aplicable:

«Una aplicación móvil de edición de fotos pide a sus usuarios que tengan activada la localización GPS para utilizar sus servicios. La app también indica a sus usuarios que utilizará los datos recogidos con fines de publicidad comportamental. Ni la geolocalización ni la publicidad comportamental en línea son necesarias para la prestación del servicio de edición de fotos y van más allá de la prestación del servicio básico ofrecido. Dado que los usuarios no pueden utilizar la app sin consentir estos fines, el consentimiento no puede considerarse libremente otorgado.»

SI LES DAMOS A ELEGIR, ¿QUÉ IMPORTA?

Suponiendo que el proveedor del contenido restringido fuera completamente transparente sobre el propósito de la recogida de la información del interesado y el uso previsto de esos datos, el uso del contenido restringido se reduce realmente a unas pocas cuestiones clave:

  • ¿Cuál es el servicio que se presta?
  • ¿Es necesaria la recogida de datos personales para prestar ese servicio?
  • ¿Qué constituye una «presión inadecuada»?
  • ¿Se vería perjudicado el interesado si no facilitara sus datos personales (en otras palabras, sería «fundamentalmente injusto»)?
  • ¿El interesado se verá perjudicado si retira su consentimiento después de haber facilitado sus datos personales?

A primera vista, el servicio que se presta parece obvio: el producto es una orientación y una investigación significativas y patentadas. Si éste es de hecho el servicio, la recogida de datos personales no es necesaria para prestarlo. Si el proveedor considera que el contenido es valioso, podría cobrar una cuota por el servicio. Sin embargo, esto no es lo mismo que pedir los datos personales de los residentes en la UE que están protegidos por el GDPR. Además, aunque el interesado no se verá perjudicado si decide retirar su consentimiento en algún momento futuro (ya habrá recibido el beneficio del servicio), puede verse perjudicado inicialmente si decide no facilitar sus datos y descargar el contenido, especialmente si el contenido contiene información pertinente que podría ser utilizada por un competidor si éste decidiera facilitar sus datos.

Por otro lado, también se podría argumentar que el servicio real que se presta a cambio de la información de contacto del interesado no es el contenido bloqueado, sino el contacto de seguimiento o la suscripción a otros contenidos (como boletines o artículos de blog). En este caso, es probable que el GDPR considere el contenido bloqueado como un mero ardid para convencer al interesado de que facilite sus datos. En este contexto, se está ejerciendo una «presión inadecuada» sobre el interesado para coaccionarlo a someterse a la recogida de datos.

En ambos casos, la recogida de la información personal de un interesado viola la intención del reglamento. Al evaluar si la información personal del sujeto fue «facilitada libremente», la pregunta clave es si la habría facilitado de no haberse sentido obligado a hacerlo para obtener acceso al contenido. Aunque este tema seguirá evolucionando con el tiempo y se aportará más claridad con posteriores resoluciones judiciales, el consenso de la información disponible es que el contenido no puede proporcionarse con el único requisito de que los interesados faciliten información personal que esté protegida por el GDPR y que no sea necesaria para el cumplimiento del servicio.

¿ES REALMENTE EL FIN DEL CONTENIDO CERRADO?

Para las empresas que no operan en la UE ni promocionan bienes/servicios a residentes de la UE, el contenido vetado aún puede aprovecharse como estrategia de marketing. Esto también es cierto si los residentes de la UE acceden a tu sitio pero no están directamente dirigidos a ellos (por ejemplo, no comercializas servicios en Europa pero se puede acceder a tu sitio desde dentro de la UE). Para las empresas que están sujetas a las normas y reglamentos del GDPR, sólo hay dos opciones: Seguir como hasta ahora o modificar el enfoque de los contenidos reservados.

Para muchas empresas, el contenido cerrado es una fuente importante de clientes potenciales y es esencial para su modelo de negocio. Abandonar simplemente este modelo puede no ser una opción viable. En estos casos, lo más probable es que se estén planteando (y respondiendo) las siguientes preguntas:

  • ¿Es probable que un residente en la UE vaya a presentar una queja sólo porque le pedimos su dirección de correo electrónico? No parece muy plausible.
  • ¿Está la UE preparada para hacer cumplir el reglamento en este momento? No podemos imaginar que estemos entre sus prioridades.
  • Incluso si alguien nos denunciara, ¿una infracción tan leve no daría lugar a una simple advertencia y un plan de acción correctiva? No nos van a multar con el 4% de los ingresos por una dirección de correo electrónico.

Para las empresas tolerantes al riesgo, todas estas preguntas son válidas. Y a nivel del sujeto individual de los datos, el contenido cerrado puede no parecer un gran riesgo. Sin embargo, si una empresa sufriera una violación de datos en la que se divulgara toda su información de contacto de marketing, y se descubriera que esta información se recopiló principalmente a través de formularios de contenido cerrado, las sanciones y multas podrían aumentar rápidamente. Por tanto, la pregunta más importante es: ¿cuánto vale para ti?

Si tu empresa decide cumplir el espíritu del reglamento, los métodos para solicitar información tendrán que cambiar. Aunque los profesionales del marketing pueden seguir proporcionando contenidos y solicitando información a los interesados, deberán cumplirse las siguientes condiciones:

  • Los interesados deben saber que no están obligados a facilitar sus datos personales para recibir el contenido.
  • Los interesados deben conocer los motivos de la recogida de datos, cómo se utilizarán sus datos y su derecho a retirar el consentimiento en cualquier momento.

Aunque la mayoría de los profesionales del marketing se darán cuenta de que el número de sujetos de datos dispuestos a facilitar voluntariamente su información personal disminuirá cuando no se les exija que lo hagan, también se darán cuenta de que los que opten por facilitar su información estarán altamente cualificados y podrán dar lugar a un marketing más selectivo. Además, hace recaer en el proveedor de contenidos la responsabilidad de disponer de información de alta calidad, oportuna y relevante. Si el contenido demuestra valor, los visitantes volverán a por más y probablemente contratarán a tu empresa para que les proporcione productos o servicios en algún momento.

NOTA ADICIONAL: CONSENTIMIENTO DEL INTERESADO ANTERIOR AL GDPR

Otro motivo de preocupación para muchos profesionales del marketing ha sido el tratamiento de los interesados que ya han dado su consentimiento para el tratamiento antes del RGPD. Las nuevas directrices también abordan este tema:

Los responsables del tratamiento que actualmente procesan datos sobre la base del consentimiento en cumplimiento de la legislación nacional de protección de datos no están obligados automáticamente a actualizar por completo todas las relaciones de consentimiento existentes con los interesados en preparación para el GDPR. El consentimiento obtenido hasta la fecha sigue siendo válido en la medida en que se ajuste a las condiciones establecidas en el RGPD.

Así que, ahí lo tienes. Si tu empresa cumple el reglamento GDPR, no es necesario hacer una actualización completa de la autorización de los interesados para el tratamiento. Dicho esto, no estaría de más demostrar tu adhesión al espíritu del reglamento informando a estos interesados de que dispones de sus datos, así como de sus derechos en virtud del nuevo reglamento.

Si quieres hablar sobre el cumplimiento del GDPR o tienes alguna pregunta relacionada con esta nueva normativa, Avalution puede ayudarte. Ponte en contacto con nosotros hoy mismo para obtener más información.