El Reglamento General de Protección de Datos (RGPD) tiene un impacto directo sobre el email marketing. La gestión de la privacidad correcta es crucial para el éxito y la reputación de la empresa.
Estos son los pasos más importantes del RGPD aplicada al mail márketing:

1. Identificar a un Responsable, un Delegado de Protección de Datos
Se deberá informar a la hora de recoger datos de los interesados, de la identidad concreta y datos de contacto del responsable que va a llevar a cabo esta recogida y gestión de la información o de su representante. Igualmente deberá informarse, si fuera necesario, de la identidad del Delegado de Protección de Datos (DPO).

2. Informar sobre los fines del tratamiento de los datos y la base jurídica para el mismo
La empresa deberá informar sobre el destino que va a tener el tratamiento de datos (campañas de email marketing, generación de contactos, boletines, etc.) de forma concreta y expresa. Además deberá incluirse en esta información, qué base y referencias jurídicas justifican estas finalidades.

3. Especificar los destinatarios o categorías de destinatarios del tratamiento
Se deberá informar sobre quién o quiénes van a recibir los datos personales objeto del tratamiento de datos. Tendrá que incluirse la información necesaria para identificar a los destinatarios aún en el caso de tratarse de hosting, plataformas de email-marketing y otros servicios similares.

4. Avisar si se van a realizar transferencias internacionales de tratamientos
Se deberá informar si los datos personales objeto del tratamiento van a ser gestionados totalmente o en parte en terceros países
Es recomendable que esta gestión internacional se realice en países de la UE.

5. Informar de los plazos para la conservación de los datos personales
Se deberá informar del plazo de tiempo previsto para la conservación de los datos personales objeto del tratamiento. Si esto no fuera posible, deberá indicarse qué criterios se seguirán para justificar la conservación (validez de una oferta, obligación legal, etc.)

6. Comunicar a los usuarios sus derechos en cuanto a la gestión de sus datos
Se deberá informar de los derechos que asisten a los usuarios como propietarios de los datos personales, así como el procedimiento para ejercer estos derechos. Se recogen los nuevos derechos al olvido y a la portabilidad de los datos personales.

7. Indicar de forma clara las obligaciones contractuales obligatorias
Se deberá informar a los usuarios sobre si la información recogida es una obligación contractual y es requerida para la formalización de un contrato o acuerdo. Deberá también informarse de las consecuencias de no prestar dicha información.

8. Notificar sobre las decisiones automatizadas y elaboración de perfiles
Se deberá informar a los usuarios si la información recopilada va a ser usada para la creación de perfiles y/o patrones. La información deberá también mostrar qué criterios y lógica se va a seguir para la creación de dichos perfiles y la importancia o consecuencia para el usuario.

9. Informar al usuario si las finalidades son distintas a las previstas para el tratamiento
Se deberá informar a los usuarios si el responsable de tratamiento tiene previsto a posteriori usar la información recopilada para fines distintos a los previstos inicialmente.

10. Recoger el consentimiento expreso y acreditable de parte de los usuarios
Se deberá recoger el consentimiento del usuario de forma expresa. No valdrá hacerlo de una forma implícita. Además el responsable del tratamiento, tendrá que ser capaz de demostrar en cualquier momento que este consentimiento ha sido obtenido de forma libre y explícita.