Cómo crear el texto legal para formularios de contacto según el RGPD

Queremos aclarar la confusión que rodea a los formularios opt-in bajo las leyes de privacidad

de datos RGPD mostrándote ejemplos del mundo real y analizando qué funciona y qué no. 

Te mostraremos ejemplos de opt-in RGPD para:

• Conseguir el consentimiento para una algo

• Cómo utilizar los imanes de clientes potenciales

• Cuándo utilizar casillas de verificación

• Cómo cumplir la verificación de edad

• Cómo obtener el consentimiento del RGPD para varias cosas

• Cuando demasiadas explicaciones confunden

Empecemos.

En primer lugar, un pequeño anuncio de nuestra parte.

¿De acuerdo? OK, ¡comencemos!

Antes de compartir los ejemplos de formularios opt-in, queremos comenzar con el lenguaje legal real de GDPR con respecto a las solicitudes de consentimiento por correo electrónico. Antes de crear un formulario opt-in eficaz con arreglo al RGPD es importante entender primero de qué se trata.

El apartado 11 del artículo 4 establece,

"Por consentimiento del interesado se entenderá toda manifestación de voluntad, libre, específica, informada e inequívoca, mediante la que el interesado consienta, por declaración o mediante una clara acción afirmativa, el tratamiento de datos personales que le conciernan".

El considerando 32 especifica además:

"El consentimiento debe darse mediante un acto afirmativo claro que establezca una indicación libre, específica, informada e inequívoca de la conformidad del interesado con el tratamiento de los datos personales que le conciernen, como por ejemplo una declaración escrita, incluso por medios electrónicos, o una declaración oral. Esto podría incluir marcar una casilla al visitar un sitio web de Internet, elegir la configuración técnica de los servicios de la sociedad de la información u otra declaración o conducta que indique claramente en este contexto la aceptación por parte del interesado del tratamiento propuesto de sus datos personales."

¡Vaya! Eso es mucho para digerir. Como puedes ver, el RGPD establece un alto estándar para el consentimiento afirmativo. 

Los campos RGPD tienen que ver con el texto legal que pueden añadirse a tus formularios de suscripción para poder recoger y almacenar correctamente el consentimiento de los suscriptores. Al utilizar estos campos, ayudarás a garantizar que tu negocio siga cumpliendo con el RGPD. 

Los campos RGPD incluyen texto de consentimiento con una descripción de por qué se recopilan los datos del usuario, opciones mediante casillas de verificación para permitir al usuario optar por servicios específicos, texto legal que explica en términos jurídicos cómo se utilizarán los datos y enlaces a la política de privacidad y las condiciones. 

Para activar los campos RGPD en MailerLite, en la configuración del formulario de suscripción dentro de tu editor de formularios, selecciona Campos de permisos de marketing (compatibles con RGPD) y Política de privacidad.

Echa un vistazo a este video tutorial para conocer más herramientas RGPD en MailerLite.

Ahora vamos a repasar algunos ejemplos de formularios opt-in o aceptación voluntaria para ayudarte a averiguar cómo implementar un texto legal al formulario de contacto.

Si sólo necesitas el consentimiento como, por ejemplo, recibir newsletters, el formulario de suscripción puede ser muy fácil y sencillo. Cuanto más fácil de rellenar sea tu formulario, más suscriptores conseguirás.

Ejemplo de solicitud de consentimiento de conformidad con el RGPD de la revista Discovery

Este es un buen ejemplo de formulario opt-in a seguir. No es necesario añadir una casilla de verificación de cumplimiento de GDPR porque el consentimiento es necesario para un propósito: recibir noticias semanales. También hay un enlace a la Política de privacidad, lo cual es una buena práctica.

Dicho esto, presta atención a la declaración que aparece debajo del botón de envío. Dice que, tras inscribirse, el suscriptor recibirá ocasionalmente encuestas y ofertas especiales. Esto no está claro para el suscriptor.

Para evitar malentendidos, recomendamos colocar este texto en el área principal. Así que la copia podría decir:

"Recibe las últimas noticias científicas semanales, encuestas ocasionales y ofertas especiales directamente en tu bandeja de entrada". 

Esta sería una mejor manera de enfocar el consentimiento.

Ejemplo de formulario de consentimiento GDPR del Huffington Post

Este es también un buen ejemplo de un formulario de suscripción sencillo, claro y preciso, sin información innecesaria. Desde nuestro punto de vista, lo único que falta es un enlace a la Política de Privacidad. También es una buena práctica mencionar que la persona puede darse de baja en cualquier momento.

Ejemplo de formulario de consentimiento RGPD de la revista Smashing

El ejemplo anterior de opt-in es otro buen ejemplo a seguir. La revista Smashing se explayó aún más al mencionar cuántas veces al mes envían su newsletter. Sin embargo, habría sido mejor si hubieran añadido un enlace a su Política de privacidad.

Ejemplo de formulario de consentimiento RGPD de TechCrunch

Otro ejemplo interesante de formulario opt-in es el de TechCrunch. Hicieron posible que sus suscriptores eligieran el tema del boletín que querían recibir. Es una forma estupenda de dejar que tus suscriptores elijan los temas de contenido que realmente les interesan. Lo que hace que este ejemplo sea aún mejor es que también se incluyen los enlaces para darse de baja y Política de privacidad.

Ejemplo de formulario de consentimiento RGPD de Digital Spy

Revisemos la cláusula de exención de responsabilidad en la parte inferior del formulario opt-in, dice: "Digital Spy" y otras marcas publicadas por Hearst UK desean ponerse en contacto con usted para informarle sobre nuestros productos y servicios, así como sobre descuentos y ofertas, tal y como se detalla en nuestro Aviso de privacidad. Marque esta casilla si prefiere no recibir estos correos electrónicos". 

Lamentablemente, esta no es la forma correcta de obtener el consentimiento de los suscriptores. Como tú sabes, el consentimiento significa un acto afirmativo claro que establece una indicación libre, específica, informada e inequívoca de acuerdo con el tratamiento de datos personales. En términos sencillos, esto significa que tienes que pedir a la gente que se inscriba activamente.

Ejemplo de formulario de consentimiento RGPD de Forbes

Aquí tienes un gran ejemplo de un formulario de suscripción perfecto creado por Forbes. Dejaron explícitamente claro con qué frecuencia recibirán los suscriptores sus  newsletters y de qué tratarán sus correos electrónicos. También añadieron un enlace a la política de privacidad e informaron a los suscriptores de la posibilidad de darse de baja: «Comience el día con el newsletter Daily Dozen que cubre el mundo de los emprendedores y súper estrellas, expertos consejeros de carreras y secretos de éxito. Puede optar por darse de baja en cualquier momento. Términos y condiciones y Política de privacidad». ¡Bien hecho!

Es muy común regalar algo a cambio de una dirección de correo electrónico. Suelen denominarse lead magnets. Bajo RGPD, no puedes simplemente obtener un correo electrónico con un lead magnet sin explicar cómo utilizará el correo electrónico.

Ejemplo de incentivo de CottonOn & Co.

En este ejemplo de e-commerce, no hay una explicación clara de lo que la persona está firmando. «Únete a CottonOn % Co. Perks y ¡recibe un vale de $10!» Si pides que te cambien una dirección de correo electrónico por un obsequio o vale, no podrás enviarles newsletters, noticias, ofertas especiales u otros mensajes.

Una opción segura en este caso sería añadir una casilla de verificación RGPD debajo y pedir a los usuarios que marquen la casilla si desean recibir un boletín informativo u ofertas especiales.

También podrías decir algo como:

«Para recibir un vale, suscríbete a nuestro boletín de noticias. No te preocupes, puedes darte de baja en cualquier momento".

En este caso no tendrías que añadir ninguna casilla de RGPD porque dejas explícitamente claro que el lead magnet de clientes potenciales se ofrece a cambio de unirse a la lista de correo electrónico.

Red Bull hace un trabajo mucho mejor en el siguiente ejemplo.

Ejemplo de lead magnet potenciales RGPD de Red Bull

Sigue el ejemplo de Red Bull de ser muy claro y explícito. Muestran cómo se puede conectar un obsequio a una suscripción. Incluyen el incentivo, la explicación del consentimiento de email marketing y mencionan la opción de darse de baja. «¿Quieres mantenerte en contacto? Suscríbete a nuestro newsletter Red Bull Shop, recibe un boucher de €10 y mantente al día todas las semanas sobre las novedades y ofertas del mundo de Red Bull. No te preocupes, si cambias de parecer, te puedes dar de baja sin costo alguno». ¡Gran trabajo Red Bull!

Ejemplo de lead magnet de Moda Operandi

Otro buen ejemplo de consentimiento para newsletter que incluye un obsequio. «¡Ponte en la lista! Únete a nuestra lista para recibir inspiraciones diarias y acceso privilegiado a la moda global. Aprovecha el 10% de descuento en tu primera compra cuando te suscribes. Para darte de bajar o para consultar nuestra Política de privacidad haz clic aquí.» El descuento se ofrece para atraer a más suscriptores que se apunten al newsletter y se informa a la gente de lo que van a recibir.

Ejemplo de lead magnet de Bark Post

Este es otro buen ejemplo de formulario opt-in con un lead magnet. Nuestro único consejo es que el texto bajo el bloque de suscripción no sea demasiado pequeño, ya que como responsable del tratamiento de datos debes dejar explícitamente claro para qué fines está recopilando correos electrónicos y no ocultar nada. Además, no olvides el enlace a la Política de privacidad en tus formularios de suscripción.

Las casillas de verificación son necesarias cuando se intenta obtener el consentimiento para dos cosas distintas, como un newsletter y publicidad. Si no necesitas utilizar casillas de verificación, es mucho mejor evitarlas. Conseguirás mayores conversiones con menos casillas de verificación.

Ejemplo de casilla RGPD en Bratislava

Desde nuestro punto de vista, las casillas RGPD del formulario anterior no son necesarias. Echemos un vistazo más de cerca a la primera casilla de verificación, que dice:

"Acepto que mi correo electrónico sea almacenado y utilizado para recibir el newsletter".

Se cumple el RGPD sin esta casilla de verificación porque el único propósito de este formulario es obtener el consentimiento para recibir boletines informativos. La segunda casilla no es necesaria porque se le permite poner ofertas en tus boletines.

Si alguien tiene que leer varias casillas y tomar varias decisiones, es menos probable que complete el formulario.

Ejemplo de casilla de verificación RGPD de Michael Kors

El cumplimiento del RGPD también se muestra con este formulario de inclusión voluntaria. No obstante, te recomendamos que dejes que tus clientes elijan cómo quieren recibir sus noticias: por correo electrónico, SMS, correo postal, etc. En este caso, utilizarías varias casillas de verificación.

La casilla de verificación es necesaria porque el propósito original del formulario es comprar en la tienda. Para enviar boletines informativos, tuvieron que añadir una casilla de verificación aparte en la que se pedía el consentimiento explícito.

Ejemplo de CBS Sports

CBS Sports creó un buen formulario de inclusión que cumple con el RGPD, sin embargo, no hay necesidad de agregar una casilla de verificación del RGPD porque el consentimiento para el procesamiento de datos solo se pide para una cosa: «Newsletter diario de CBS Sports HQ. Recibe las mejores reseñas e historias - sí, solo lo importante previamente seleccionado por nuestro equipo para que empieces tu día bien informado. Acepto que CBS Sports me envíe el newsletter diario de CBS Sport HQ».

Ejemplo de YOOX

Este es nuestro último ejemplo de un buen formulario de suscripción que cumple con el RGPD. Sin embargo, la casilla de verificación aquí no es necesaria, ya que el consentimiento del suscriptor se da para un solo propósito. «Sé la primera persona en recibir lo mejor. ¿Quieres ser la primera persona en recibir las últimas noticias y promociones? Suscríbete en nuestro newsletter y ¡recibe un 10% de descuento al instante!»

El artículo 8 del RGPD establece que, en lo que respecta a la oferta de servicios de la sociedad de la información directamente a un menor, el tratamiento de los datos personales de un menor será lícito cuando éste tenga al menos 16 años.

Si el niño es menor de 16 años, dicho tratamiento sólo se realizará sobre una base legal si y en la medida en que el consentimiento sea dado o autorizado por el titular de la responsabilidad parental sobre el niño.

Ejemplo de verificación de edad RGPD de Monki Style

¿Crees que el formulario anterior funciona con arreglo al RGPD?

Fíjate que junto al casillero de verificación se lee: «Confirmo que tengo 16 años y acepto que Monki procese mis datos personales  a fin de enviarme marketing personalizado y material de marketing de acuerdo con el Aviso de privacidad».

Veámoslo más de cerca. Hay dos tipos de confirmación: verificación de la edad y consentimiento para recibir material de marketing personalizado, pero sólo una casilla de verificación.

¿Qué pasa si alguien quiere confirmar que tiene más de 16 años, pero no quiere recibir correos electrónicos de marketing? Desde nuestro punto de vista, este tipo de formulario opt-in está relacionado, lo que significa que debe separar los dos elementos mediante casillas de verificación.

Dicho esto, el texto que utilizan para verificar la edad es bueno. No lo mezcles con otras cosas y listo.

Ejemplo de COS

Como puedes ver, la casilla RGPD dice: "Confirmo que tengo 16 años o más y doy mi consentimiento para que COS procese mis datos personales con el fin de enviar material de marketing personalizado de acuerdo con el aviso de privacidad."

A primera vista, esto suena bien, pero ¿qué pasa si el suscriptor es mayor de 16 años y no está interesado en material de marketing personalizado? Por esta razón, te sugerimos que dispongas de dos casillas de consentimiento separadas.

Los Estados miembros podrán establecer por ley una edad inferior a estos efectos, siempre que no sea inferior a 13 años.

El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento ha sido dado o autorizado por el titular de la patria potestad del menor, teniendo en cuenta la tecnología disponible.

Para cumplir la normativa, debes considerar la posibilidad de añadir a tus formularios opciones de verificación de la edad o de consentimiento paterno si ofreces servicios en línea directamente a los niños.

El Consejo Europeo de Protección de Datos ha publicado directrices en las que explican cómo verificar el consentimiento paterno. Destacan que debe adoptarse un enfoque proporcionado con respecto a la autorización de un titular de la responsabilidad parental: los responsables del tratamiento de datos deben centrarse en obtener una cantidad limitada de información, como los datos de contacto de un progenitor o tutor. 

En los casos de bajo riesgo, se sugiere obtener la verificación de la responsabilidad parental a través del correo electrónico del progenitor. En casos de alto riesgo, podrían utilizarse servicios de verificación de terceros de confianza, que ofrecen soluciones para minimizar la cantidad de datos personales que el responsable del tratamiento tiene que procesar por sí mismo.

En este ejemplo de Nintendo, se pide al usuario que introduzca la dirección de correo electrónico de un padre o tutor, después de enviar sus datos. Esto evita que los usuarios menores de edad reciban contenidos inadecuados para su edad. 

Veamos una de las explicaciones más importantes del RGPD sobre el consentimiento, que figura en el considerando 32:

"Por tanto, el silencio, las casillas marcadas previamente o la inactividad no deben constituir consentimiento. El consentimiento debe abarcar todas las actividades de tratamiento realizadas para el mismo fin o fines. Cuando el tratamiento tiene múltiples fines, el consentimiento debe darse para todos ellos".

Es obligatorio pedir el consentimiento para cada finalidad. Estos son algunos ejemplos de conformidad con el RGPD, que colocan casillas de consentimiento separadas para fines de marketing y elaboración de perfiles.

Ejemplo de consentimiento en el marco del RGPD de Armani Store

Ejemplo de consentimiento RGPD de la Juventus

En estos ejemplos de Armani y la Juventus, han incluido casillas de verificación para cada finalidad para la que podrían utilizarse los datos del usuario. Aunque algunos usuarios podrían saltarse la lectura de estas opciones, son claras y concisas, y si el usuario no las marca, no da su consentimiento. 

Ejemplo de consentimiento RGPD de Guess

Lo importante que hay que observar en el ejemplo anterior es que si un suscriptor no elige las casillas "Sí" o "No", cuenta como "No". Recomendamos utilizar simplemente una casilla de verificación para evitar una experiencia de usuario confusa.

Ejemplo de consentimiento de Insure4Sport

Como puedes ver, aquí hay 2 opciones: Se pide a los abonados que elijan si desean o no recibir ofertas e información de sus socios. Sin embargo, sugerimos que sólo tenga una opción: "Sí. De lo contrario, debería significar "No".

El RGPD exige que la explicación de los servicios sea explícita y clara. Aunque se trata de una norma subjetiva, debes hacer todo lo posible por comunicarte con la mayor claridad y eficacia. 

A la gente no le gustan los formularios de suscripción largos o complicados: quieren leer rápidamente la "letra pequeña" y estar seguros de lo que firman. El texto debe ser sencillo y conciso, sin escatimar información importante. 

Esto nos lleva a nuestro último ejemplo, que muestra cómo la redacción puede resultar confusa. Este es un ejemplo de lo que NO hay que hacer:

Si pensabas que el método del doble opt-in es el único formulario permitido por el RGPD, ¡tenemos noticias para ti!

En primer lugar, veamos las similitudes y diferencias entre estos dos métodos. 

Ambos métodos te permiten hacer crecer tu lista de correo electrónico de forma sencilla y segura. ¿Por qué seguro? Porque en ambas ocasiones recibes lo que más necesitas para seguir cumpliendo con el RGPD, que es el consentimiento. 

Aclaremos que el RGPD no obliga a establecer el método de doble opt-in para recopilar direcciones de correo electrónico. En realidad, el Reglamento no dice nada sobre el opt-in único o doble. Lo único que importa es la capacidad de aportar pruebas del consentimiento.

Utilizando el método de opt-in único, deberías poder capturar una marca de tiempo del consentimiento del suscriptor (hora, fecha, ubicación) y la fuente del opt-in (sitio web, redes sociales, etc.). La posesión de esta información personal te hace plenamente compatible con los requisitos de inclusión voluntaria del RGPD. Sin embargo, para tener un rastro en papel más sólido de la prueba del consentimiento, puedes activar el método de opt-in doble, lo que significa que cualquier persona que se suscriba tendrá que confirmar su solicitud dos veces. 

El opt-in doble es una forma más avanzada de recopilar direcciones de correo electrónico, pero no por ello el opt-in simple deja de ser válido o inadecuado.

Para ayudarte a crear los mejores formularios opt-in que cumplan con el RGPD, hemos creado una lista de comprobación que puedes utilizar para verificar que tus formularios están listos.  

Esperamos que este artículo haya sido útil. Si todavía tienes preguntas sobre el consentimiento por correo electrónico RGPD, las casillas de verificación o la estructura de los formularios opt-in, deja tus comentarios a continuación y haremos todo lo posible para responder a tus preguntas.

Nota del editor: Este post se publicó originalmente en junio de 2018 y se ha actualizado para mayor precisión y exhaustividad.