El consentimiento siempre debería ser específico, informado y sin ambigüedades en todos los casos. La copia de suscripción, por tanto, debe restringirse al envío de publicidad y no puede contener otra información o instrucciones distintas. Algo del tipo "dirección de email para boletín y notificaciones de premios" no es suficiente.

Del mismo modo, la persona correspondiente (sujeto de datos) debería poder entender claramente el alcance del consentimiento, p.e., qué empresa está publicitando qué productos o servicios.

Por último, antes de enviar su consentimiento, la parte interesada debe estar informada en todo momento de su derecho a revocar el consentimiento. Puede mencionarse de inmediato o explicarse en la política de privacidad una notificación de que el usuario puede darse de baja en cualquier momento y cuáles son los métodos a su disposición a tal efecto y, como mínimo, se debería proporcionar el enlace de bajas y la dirección de email para ello.

La política de privacidad debería incluir, entre otras cosas, los fundamentos jurídicos, una nota en el boletín (remitente, tipo de emails, derecho de baja en cualquier momento, métodos de baja y, en caso de baja de publicidad para clientes existentes - en Alemania conforme al art. 7 párr. 3 UWG (Ley Contra la Competencia Desleal) - un pasaje que explique que no se incurrirá en gasto alguno por la baja, más allá de los costos de transmisión conforme a la tarifa básica, así como información sobre el tratamiento de datos (qué datos se compilan, cómo se tratan los datos, cómo se usan y durante cuánto tiempo se guardan y se deben especificar los terceros).

Hemos proporcionado algunos textos de ejemplo para que los pueda usar en este artículo: Buenas prácticas de Suscripción.

No, pero siéntase libre de echar un vistazo a nuestro propio documento para obtener inspiración: Contrato de Tratamiento de Datos de Emarsys.

Los fundamentos jurídicos para el tratamiento de información personal después de la suscripción al boletín son el consentimiento recibido de conformidad con el Art. 6 (1) (a) GDPR, o, en caso de una dirección de email obtenida en relación con la venta de bienes y servicios (en Alemania), art. 7 párr. 3 UWG (Ley Contra la Competencia Desleal).

Los fundamentos jurídicos para el registro del comportamiento de los usuarios y el proceso de registro podrían ser un interés legítimo de conformidad con el Art. 6 (1) (f) GDPR. En este caso, el interés legítimo es una oferta de boletín que sea tanto de calidad alta como técnicamente seguro.

El art. 7 párr. 3 UWG (Ley Contra la Competencia Desleal) se basa en la Directiva de Privacidad electrónica. Por consiguiente, existen normas comparables dentro de la UE. Seguirá resultando aplicable. El principio de un sistema jurídico uniforme resulta de aplicación.

Si los requisitos del art. 7 párr. 3 UWG se cumplen, entonces el tratamiento de datos relativo a los mismos también estará permitido conforme al GDPR. Se trata de una normativa especial conforme al Art. 95 GDPR. No obstante, la interferencia futura y la decisión jurídica resultante no pueden regularse. Esperemos a ver a dónde llevará en el futuro la Normativa de Privacidad electrónica. El borrador contiene una cláusula relativa a esta cuestión.

Si el sitio web está específicamente creado para un país (p.e., usando el dominio ".de"), entonces sí. Una página web, no obstante, por definición, es mundialmente accesible y una traducción a todos los idiomas del mundo resultaría completamente exagerada.

Cualquier consentimiento obtenido legalmente hasta este punto seguirá siendo válido. O, al menos, un consentimiento obtenido de conformidad con la legislación alemana y austriaca, pues la normativa que rige el consentimiento en estos países ya iba prácticamente en línea con el GDPR.

Los menores de edad, concretamente, pueden suponer un tropiezo en este sentido; en el futuro, se exigirá el consentimiento paterno para los niños menores de 16 años. No obstante, esta edad puede reducirse en algunos Estados Miembros, como en Austria (14 años) y el Reino Unido (13 años). Esto también resulta de aplicación a los datos existentes.

Además, la prohibición de emparejamiento debe tenerse en cuenta. Si bien el nuevo reglamento es en cierto modo ambiguo, los requisitos cada vez serán más estrictos que en el pasado. Versiones populares como "deme su permiso y se le incluirá en este concurso" deberían tal vez convertirse en "todos nuestros suscriptores al boletín se incluirán automáticamente en un concurso".

El resultado será similar desde el punto de vista del publicista, pero la formulación presenta menos riesgos desde un punto de vista jurídico.

Desde un punto de vista técnico, información tal como la ubicación, la dirección IP y el sello temporal, que se requieren como parte de la demostración de consentimiento, pueden documentarse fácilmente mediante la inclusión de una doble suscripción.

No obstante, el archivado de las políticas de privacidad y los contratos de consentimiento debería llevarse a cabo de manera independiente. Por ejemplo, al realizar cambios, debería conservar versiones pasadas de sus páginas web relevantes (p.e., pantallazos guardados como PDFs o imágenes) para rastrear los cambios.

Además, podría enviar una copia de cada email de confirmación que se envíe como parte de la doble suscripción a un archivo de email interno que use la función CCO.

Sí. Resulta de incumbencia para el controlador el cumplimiento de la obligación de revelación, con independencia de si los registros se compilaron antes o después de que la GDPR entrara en vigor. No obstante, de conformidad con el Art. 15 (1) (g) GDPR, la información sobre la fuente de los datos únicamente se exige presentarla en casos en los que los datos personales no se recolectan de la persona correspondiente (el sujeto de datos).

No. En cuanto al GDPR, nada ha cambiado a este respecto.

Una suscripción doble no se exige explícitamente en el GDPR. No obstante, debe ser posible dar pruebas de que la persona a la que pertenece la dirección de email, p.e., la persona que tiene autorización para usar la dirección de email, era la persona que se registró y no otra.

La doble confirmación proporciona únicamente el medio factible e "impermeable" de recolectar esta evidencia.

A este respecto, el offline no es diferente del online. La alternativa sería archivar cada folleto o cada firma. Además, al digitalizar direcciones de email manuscritas, suelen producirse errores sin una doble confirmación del consentimiento, el spam es inevitable. Por tanto, recomendamos encarecidamente que, cuando se han recibido direcciones de email a través de una fuente offline, estas vayan seguidas de un email de confirmación.

No, véase la respuesta anterior. La política de privacidad debería indicar que está registrando si un email se ha abierto, cómo lo rastrea y en qué enlaces se ha hecho clic. Los datos se recolectan para su análisis y para adaptar el contenido del email a las preferencias concretas del lector.

Los datos de registro que deben almacenarse son las direcciones IP, el sello temporal, una URL / pantallazo del formulario de registro y, en caso de doble suscripción, el email de confirmación exacto recibido. Se puede elegir cómo se conservan individualmente los registros, pero, en caso de queja, todos los registros completos deben estar disponibles rápidamente para poder presentarlos de manera puntual.

Debería bastar con señalar esto durante el proceso de registro añadiendo una nota de que los suscriptores deben tener más de 16 años. Al registrarse, el suscriptor confirma que él o ella tiene al menos 16 años de edad.

Pero puede que este no sea el caso si una oferta va dirigida a niños. En este caso, puede ser necesario obtener una verificación, así como el consentimiento de un progenitor o tutor. La forma exacta en la que esto debe conseguirse sin sobrepasar el límite y mientras se sigue cumpliendo el propósito pretendido queda aún pendiente (p.e., ¿solicitando una copia de un documento de identidad por email?).

Sí. A partir del 25 de mayo de 2018, las condiciones básicas del GDPR tendrán que cumplirse. Si el consentimiento de un menor se ha proporcionado sin el consentimiento de su tutor legal, las condiciones del GDPR no se han cumplido. Es decir: esto significa que el consentimiento ya no será válido a partir de la fecha de entrada en vigor (25 de mayo) y, por consiguiente, habrá que corregirlo.

No se requiere un consentimiento independiente y expreso para Web Extend y Predict. Para su campaña de repetición de permisos, puede enlazar con un formulario en el que la suscripción al boletín y el consentimiento en cuanto a la protección de datos se soliciten de manera independiente, p.e., mediante dos marcas de verificación independientes.

Ver Art. 37 (1) GDPR: "El controlador y el procesador designarán un responsable de protección de datos cuando:

1. el tratamiento lo realice una autoridad u organismo público, salvo cuando los juzgados actúen en su capacidad judicial;
2. las actividades centrales del controlador o del procesador consistan en operaciones de tratamiento que, en virtud de su naturaleza, alcance y / o propósito, requieran un control regular y sistemático de los sujetos de datos a gran escala o
3. las actividades centrales del controlador o del procesador consistan en el tratamiento a gran escala de categorías especiales de datos conforme al Artículo 9 o a datos relativos a condenas penales y delitos a los que se hace referencia en el Artículo 10".

Hay más probabilidades de que resulten de aplicación los párrafos 2 y 3. Si existe cualquier duda, se debe designar un responsable de protección de datos.

Ver Art. 39 (1) GDPR: "El responsable de protección de datos tendrá al menos las siguientes tareas:

1. informar y avisar al controlador o al procesador y a los empleados que realicen el tratamiento de sus obligaciones conforme a este Reglamento y a otras disposiciones de protección de datos de la Unión o del Estado Miembro;
2. controlar el cumplimiento de este Reglamento, de otras disposiciones sobre protección de datos de la Unión o del Estado Miembro y con las políticas del controlador o procesador relacionadas con la protección de datos personales, incluyendo la asignación de responsabilidades, la creación de conciencia y la formación de personal implicado en las operaciones de tratamiento y las auditorías relacionadas;
3. proporcionar asesoramiento, cuando se precise, en lo que respecta a la evaluación del impacto de la protección de datos y controlar su cumplimiento conforme al Artículo 35;
4. cooperar con la autoridad supervisora;
5. actuar como punto de contacto para la autoridad supervisora en cuestiones relacionadas con el tratamiento, incluyendo la consulta previa a la que se hace referencia en el Artículo 36, y consultar, si procede, lo relativo a cualquier otro asunto".

De conformidad con el Art. 56 (1) GDPR, la autoridad supervisora de la oficina principal o de las sucursales concretas del controlador o procesador es la autoridad responsable.

No obstante, de conformidad con el Art. 56 (2) GDPR, las autoridades de otros Estados Miembros de la UE también pueden actuar, si reciben una queja o son conscientes de una infracción y el asunto tiene que ver únicamente con una sucursal ubicada en su Estado Miembro o únicamente afecta significativamente a los sujetos de datos en su Estado Miembro.

No existe un procedimiento formal para contactar con una autoridad supervisora y esto puede realizarse a través de las opciones de contacto especificadas por la autoridad supervisora (ver por ejemplo sus sitios web).

Sí, porque el tratamiento de datos por parte de Emarsys se realiza en la UE y, por tanto, el GDPR resulta de aplicación. Además, casi ningún operador de sitios web suizo ofrece servicios exclusivamente a clientes con sede en Suiza ni a aquellos situados en los países colindantes, lo que, de conformidad con el Art. 3 (2) (a) GDPR, significa que el Reglamento General de Protección de datos resultaría de aplicación en cualquier caso.

Básicamente, se aplicará un único conjunto de normas a todos los Estados Miembros de la UE. No obstante, algunos Estados Miembros requerirán legislaciones nacionales adicionales. Incluso Alemania tiene una nueva Ley de Protección de Datos Federal que amplía la política hasta cierto punto. Se trata menos de marketing y más sobre la vídeovigilancia, la puntuación y las comprobaciones de crédito o el tratamiento de datos personales.

En cualquier caso, hay muchas de las denominadas cláusulas de flexibilidad en el GDPR que permiten cierto nivel de maniobrabilidad para la legislación nacional.

Todos los servidores de Emarsys que se encargan del tratamiento de datos de clientes se encuentran en la UE. Para más información sobre cómo gestiona Emarsys los datos, véase: Seguridad de los datos en Emarsys.

Si bien el propio GDPR no requiere esto, se sigue teniendo que mencionar en la política de privacidad y el cliente debe aceptar las condiciones indicadas en la política de privacidad (p.e., al registrarse en el boletín o al visitar el sitio web por primera vez en la ventana emergente de cookies). Esto, no obstante, podría cambiar con la futura Normativa de Privacidad electrónica de la UE. El si, el cúando y en qué forma se implantará esta política actualmente sigue siendo desconocido.

No hay un límite fijado, pero tiene la obligación de proporcionar información sobre el tiempo que mantendrán los datos. Típicamente, esta notificación se incluirá en la política de privacidad.

Al mismo tiempo, debe establecer procesos para garantizar que los datos que ya no se necesiten o para los que ya no hay un uso legítimo se eliminen adecuadamente y de forma puntual.

El embarque de datos hace posible usar la plataforma en todas sus facetas. Pero responsamos a esta pregunta desde un punto de vista diferente: ¿cuáles son las restricciones en lo que se refiere a la transferencia de datos?

Categorías especiales de datos personales conforme al Art. 9 GDPR requieren medidas extraordinarias. Las categorías especiales incluyen, por ejemplo, datos sobre visiones políticas o religiosas o datos relativos a la salud, preferencias sexuales o etnia. El resto de datos puede tratarse sin problema alguno, siempre que se cumplan las condiciones generales, como el consentimiento de la persona correspondiente (sujeto de datos).

La forma de transmisión es irrelevante desde un punto de vista jurídico, pero normalmente se realiza electrónicamente.

No, porque esto significaría que el email de confirmación en sí mismo se convierte en un anuncio y la publicidad únicamente puede enviarse después de la confirmación de la suscripción.

Estrictamente hablando, sí. Después de todo, persuade al usuario para conceder su consentimiento para publicidad.

Pero todo el mundo lo hace y esta norma probablemente no debería aplicarse de manera irrealísticamente estricta aquí.

El hecho de que este beneficio no esté disponible para aquellos que rechazan la suscripción no constituye una desventaja tan significativa como para afectar a la naturaleza voluntaria de su consentimiento. No obstante, es importante no pasarse de la raya. La suscripción al boletín debe mantenerse en el frente y centrada.

Esta pregunta no puede responderse en términos generales. Siempre dependerá de las circunstancias únicas de cada caso particular.

Puede estar permitido el emparejamiento de la suscripción con un acceso a un concurso si hay formas alternativas de acceder, p.e., si el participante tiene la oportunidad de participar en la competición por correo, por ejemplo, o de alguna otra manera distinta a tan solo el email. Si esta opción no está disponible, entonces el emparejamiento no está permitido.

La alternativa debe también indicarse claramente en el formulario. Si no hay alternativa, no puede emparejarse y se debe indicar una casilla de verificación independiente para la suscripción al boletín.

En general, se aplica lo siguiente: cuanto más se ofrece como "contrapartida" por la suscripción, más probabilidades hay de que no esté permitido.

No es categóricamente cierto que las direcciones IP no puedan almacenarse. Aunque esto se considera información personal en términos del GDPR, el interés del controlador en el tratamiento de la dirección IP (por ejemplo, para prueba de consentimiento) compensará esto de conformidad con el Art. 6 (1) (f) GDPR.

Esta es también una cuestión compleja. Si el controlador tiene un interés legítimo (para el experto en marketing, por ejemplo, una mejor relación con los intereses del consumidor) y los intereses del sujeto de datos (el cliente) no compensan esto, puede seguir estando permitido de conformidad con el Art. 6 (1) (f) GDPR.

No. Después de recibir una solicitud, el controlador debe borrar los datos en el plazo de 30 días y enviar la confirmación de esto a la persona correspondiente (sujeto de datos).

Sí, véase más arriba.

Sí. Si se ha informado adecuadamente al cliente sobre esto (p.e., en la política de privacidad) y este ha prestado su consentimiento, está permitido.

No hay ninguna forma jurídicamente prescrita. El Art. 15 (3) oración 3 del GDPR únicamente requiere lo siguiente:

"Cuando el sujeto de datos realice la solicitud por medios electrónicos y a menos que lo solicite de otra manera el sujeto de datos, la información deberá proporcionarse en un formato electrónico comúnmente utilizado".

La manera más sencilla de hacerlo sería por email, tal vez con una hoja de cálculo de Excel adjunta.