Cómo Operar bajo la Ley 25.326 de Protección de Datos Personales y su Reglamentación

Orientaciones de AMDIA para el Marketing Directo e Interactivo Con respecto al cumplimiento del Régimen Establecido por la Ley 25.326 y su Reglamentación

Alcance de las Orientaciones

Temas más relevantes :

• Consentimiento Previo
• Inscripción en Registro
• Derecho de Acceso
• “Opt Out”
• Confidencialidad y Seguridad
• Transferencia Internacional

Consentimiento Previo

¿Qué datos puedo tratar sin obtener el consentimiento previo de la persona?

• Nombre
• Número de DNI
• CUIT/CUIL
• Ocupación
• Fecha de Nacimiento
• Domicilio
• Datos de fuentes de acceso público irrestricto
• Datos que provengan de una relación contractual, científica o profesional
• Datos aptos para establecer perfiles determinados con fines promocionales, comerciales o publicitarios

¿Qué constituye un “perfil”?

Una categorización de preferencias y comportamientos similares de las personas que define un grupo genérico (segmento)

¿Cuándo deja de ser un perfil y empiezaa ser un hábito de consumo? (Art. 27L)

(un dato aparentemente más íntimo según la Ley)

¿Puedo tener números de teléfono sin consentimiento previo del titular?

• Los que figuran en guía, seguro que sí. La guía telefónica es una fuente de acceso público irrestricto.

• Los que no figuran en guía y los celulares:

• Si lo proporcionó el titular a su empresa o a otra con consentimiento para la cesión, seguro que sí.

• Si proviene de otra fuente:

• Dudoso

• Depende de cómo se quiere interpretar la frase “... con más los datos individuales estrictamente necesarios para formular la oferta a los destinatarios”.

¿Qué dice nuestro Código de Ética sobre los teléfonos que no figuran en guía?

• Los miembros de AMDIA deben evitar contactar telefónicamente a aquellos individuos cuyo número telefónico no ha sido publicado en guía por su expreso pedido, a menos que ellos lo soliciten y hayan suministrado el número.

¿Puedo tratar direcciones de email sin consentimiento previo?

Interpretamos que sí:

• La Ley dice que se pueden tener “Domicilios” sin restricciones.

• La Reglamentación permite, para el marketing directo e interactivo, tratar datos de personas agrupados en perfiles “... con más los datos individuales estrictamente necesarios para formular la oferta a los destinatarios”.

¿Qué dice nuestro Código de Ética sobre “spam”?

• Nuestro Código no define “spam”, pero si lo hiciera, NO lo definiría como cualquier mensaje no solicitado enviado por correo electrónico

• “Los socios de AMDIA deben asegurarse que los segmentos seleccionados sean los más adecuados para recibir la oferta.”

• Estricto cumplimiento de los pedidos de los titulares de remover sus direcciones de la lista.

¿Cuál es la posición de AMDIA con respecto a emails comerciales?

• Preferimos listas de permiso

• Se pueden realizar emails comerciales sin permiso,
  teniendo mucho cuidado de que:

• Se haya segmentado la lista para reducir el impacto del mensaje sobre personas que no tendrían interés en la oferta

• Se cumpla con las normas del Código sobre lealtad comercial y publicitaria en mensajes de marketing directo e interactivo

• Se facilite el pedido de remoción de la lista de los que no quieren recibir más mensajes

• Se cumpla estricta y rápidamente con los pedidos de remoción

• Este criterio coincide con lo expresado en el proyecto de ley de la Secom sobre spam

¿Se pueden obtener y comercializar listas basadas en registros públicos?

Padrón electoral, patentamiento de autos, registro de la propiedad, etc.

• AMDIA tratará de que sí

• La cesión masiva de datos personales de registros públicos a registros privados

• Debe autorizarse por ley o por el funcionario responsable, si los datos son de acceso público y se ha garantizado el respeto a los principios de la Ley 25.326

• No es necesario acto administrativo alguno en los casos en que la ley disponga el acceso a la base de datos pública en forma irrestricta

• Se entiende por cesión masiva la que comprende un grupo colectivo de personas

¿Hay datos que NO se pueden tratar?

• No se pueden tratar “datos sensibles”

• origen racial y étnico

• opiniones políticas

• convicciones religiosas, filosóficas o morales

• afiliación sindical

• información referente a la salud

• información referente a la vida sexual

¿Y los datos de la salud?

• Proveedores de servicios o tratamientos médicos y entidades sin fines de lucro pueden tratar los datos para hacer MDeI hacia personas por temas de salud, siempre que

• se obtengan los datos de acuerdo con la Ley Nº 25.326 (consentimiento informado) y

• no causen discriminación

• No se puede transferir los datos a terceros sin consentimiento previo, expreso e informado.

• Se debe proveer una noticia clara de

• carácter sensible de los datos que proporciona

• que no está obligado a suministrarlos

• lo previsto en los artículos 6º (consentimiento informado) y
  11, inciso 1 (normas para la cesión) de la Ley Nº 25.326

• su derecho a solicitar el retiro de sus datos de la base de datos.

• Esto coincide con lo que siempre ha dicho nuestro Código

Inscripción en el Registro

¿Cómo será el Registro? (Arts. 21L y 29L)

• Lo llevará la Dirección Nacional de Protección de Datos Personales

• órgano autónomo y descentralizado en el ámbito del Ministerio de Justicia

• El Registro contendrá:

• Nombre y domicilio del responsable del archivo o base de datos

• Características y finalidad del archivo;

• Naturaleza de los datos personales contenidos en cada archivo;

• Forma de recolección y actualización de datos;

• Destino de los datos y personas físicas o de existencia ideal a las que pueden ser transmitidos;

• Modo de interrelacionar la información registrada;

• Medios utilizados para garantizar la seguridad de los datos, debiendo detallar la categoría de personas con acceso al tratamiento de la información;

• Tiempo de conservación de los datos;

• Forma y condiciones en que las personas pueden acceder a los datos referidos a ellas y los procedimientos a realizar para la rectificación o actualización de los datos.

• No se entregarán copias de los archivos o programas al Registro

Inscripción en Registro (Arts. 21R y 27R)

• Los usuarios de archivos, registros, bancos o bases de datos con fines de marketing directo e interactivo deben cumplir con el requisito de inscripción en el Registro que habilite la Dirección Nacional de Protección de Datos Personales.

• Los socios de AMDIA cumplirán con este requisito a través de la Asociación, porque:

• “...se inscribirán únicamente las cámaras, asociaciones y colegios profesionales del sector que dispongan de un Código de Conducta homologado por la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, al que por estatuto adhieran obligatoriamente todos sus miembros. Al inscribirse, las cámaras, asociaciones y colegios profesionales deberán acompañar una nómina de sus asociados indicando nombre y domicilio.”

Condición especial: Procesadores (Art. 25LR)

• El procesador de datos no tiene que registrarse si recibe datos sólo para fines de procesamiento y

• NO va a utilizar, comercializar o transferir los datos

• NI va a guardarlos, excepto por expreso pedido de la empresa traspasante para su administración constante o con vistas a su
  pronta reutilización (límite 2 años)

• La empresa dueña de los datos debe obligar por contrato
  al procesador a

• . actuar solamente según sus instrucciones

• . cumplir con las obligaciones de confidencialidad y seguridad requeridas por la Ley

Derecho de Acceso y Rectificación

Acceso y Rectificación (Art. 14LR, 15LR y 16L)

• Se debe permitir al titular de datos personales que figuren en sus archivos acceso a la información contenida – sin cargo

• La empresa debe constatar la identidad del interesado

• Si la persona pregunta, hay que informarle sobre las fuentes, finalidades y destinos de los datos

• Las respuestas serán por pantalla, escrito y enviado a domicilio, mensaje electrónico, u otra vía (siempre que sea confidencial y segura)

Acceso y Rectificación (Art. 15LR y 16L, 27L)

• El plazo para responder es de 10 días corridos desde la fecha de intimación fehaciente

• El derecho de acceso es gratuito y no se pone limitación a la frecuencia

• Si la persona requiere correcciones de datos erróneos, hay que realizarlas dentro de los 5 días hábiles

• Los sucesores legales heredan este derecho con respecto a las personas fallecidas

Derecho de Bloqueo o Remoción

El “Opt Out”

La Ley diferencia al Marketing Directo e Interactivo de los demás usos de datos personales

• Las personas cuentan con el derecho irrestricto de optar por salir (“opt out”) de cualquier base de datos de Marketing Directo e Interactivo.

• Se deberá indicar en toda comunicación de MDeI por correo, teléfono, correo electrónico, Internet u otro medio a distancia a conocer, en forma expresa y destacada, la posibilidad del “opt out”.

El texto a utilizar a estos efectos no está especificada en las normas

Un posible texto :

Si usted prefiere no recibir más mensajes de este tipo de <<nuestra empresa>>, tilde aquí o y envíe esta ficha a <<dirección/fax/email>>. Removeremos su nombre de nuestra lista de contactos.”

Una posible ubicación : Al pie del cupón de respuesta

Sugerencia sobre cómo comunicarlo en el Telemarketing

Un posible script, para agregar a la sección “Objeciones” del guión :

¿Quién les dió mis datos?

Sus datos nos los proveyó <<fuente>>, una empresa que comercializa listas de nombres de personas que posiblemente estén interesados en recibir ofertas de productos y servicios.

De todas maneras, si Ud. prefiere no recibir este tipo de ofertas, tiene todo el derecho de remover su nombre de nuestra lista.

[Si la persona sigue molesta seguir]

La Ley 25.326 establece su derecho de solicitar el retiro o bloqueo, total o parcial, de su nombre de nuestra lista de marketing.

De esta manera, Ud. no recibirá más ofertas telefónicas por

parte de <<nuestra empresa>>.

¿Ud. me confirma que desea bloquear su registro?

[Registrarlo en caso afirmativo en formulario correspondiente]

Sugerencia sobre cómo comunicarlo en emailings

Un posible texto :

“Si preferís no recibir más mensajes de este tipo de <<nuestra empresa>>, respondé a este mail, utilizando la palabra “remover” en el Asunto. Removeremos tu dirección de nuestra lista de contactos.”

Una posible ubicación:

• Al pie del mensaje

Este aviso NO es requerido legalmente, pero es recomendado por el Código de Ética de AMDIA

• Para clientes de empresas que comercializan o comparten sus listas con otros marketineros (un posible texto) :

• “<<Nuestra empresa>> ocasionalmente permite acceso a nuestra lista de clientes a otras empresas, cuidadosamente seleccionadas, para que ellas puedan hacerles ofertas de productos y servicios que, creemos, le interesarán. Si Ud. no desea recibir esa información, llámenos en al <<0800 xxx-xxxx>>.”

Para administrar los opt outs, su empresa necesitará un archivo de supresión de registros

• Para cumplir con la obligación de bloqueo del nombre de las personas que han ejercido el “Opt Out”, necesitará crear un archivo especial a estos efectos

• Cada vez que realiza una campaña, sea con datos propios o nuevos datos compilados o adquiridos, deberá purgar los nombres de los “opt outs” de la base antes de realizar la acción de marketing.

¿Qué significa “bloqueo total o parcial”?

• El bloqueo total consiste en desistir de formular ninguna comunicación de marketing por ninguna vía (correo, fax, teléfono, email)

• Ejemplos de bloqueos parciales:

• No quiere recibir por fax, teléfono o email, pero por correo sí

• No quiere recibir ofertas de seguros, pero de turismo sí

• Sugerencia: ofrecer bloqueos parciales solamente hasta el punto que su sistema vaya a poder administrarlos con exactitud

• Frente a la duda: bloquear totalmente

¿Hay plazos para implementar el Opt Out?

• Ni la Ley ni la Reglamentación establecen plazos

• AMDIA recomienda que se proceda lo más rápido
  posible

• Si pueden llegar comunicaciones adicionales antes de que el opt out tome efecto, su empresa debe informar
  al interesado de esta posibilidad al recibir su opt out

Las Listas Robinson

CO-REGULACIÓN DE LAS LISTAS ROBINSON

“Las cámaras, asociaciones y colegios profesionales del sector que dispongan de un Código de Conducta homologado por la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, al que por estatuto adhieran obligatoriamente todos sus miembros, junto con la autoridad de aplicación, implementarán, dentro de los NOVENTA (90) días siguientes a la publicación de esta reglamentación, un sistema de retiro o bloqueo a favor del titular del dato que quiera ser excluido de las bases de datos con fines de publicidad.”

“El retiro podrá ser total o parcial, bloqueando exclusivamente, a requerimiento del titular, el uso de alguno o algunos de los medios de comunicación en particular, como el correo, el teléfono, el correo electrónico u otros.”

AMDIA cuenta con SPPT y EMPS

• Servicio de Preferencia Postal y Telefónica, 011 4373-3232

• EMPS, administrado por la Direct Marketing Association de EE.UU.

• Actualmente, estamos trabajando en un proyecto de reforzar y publicitar el servicio

Círculo Virtuoso

• El marketinero directo no quiere comunicarse con las personas que no quieren comprar

• Cuesta dinero

• Aún en email, las listas cuestan y hay un costo de imagen y credibilidad asociado con el spamming

• El Robinson que se levanta la mano y se identifica nos hace un favor!

¿Será obligatorio respetar las listas Robinson?

• Entendemos que eso ha sido el espíritu de los reguladores

• No está totalmente claro en el texto de la reglamentación

• Estamos pidiendo aclaración

Confidencialidad y Seguridad (Arts. 10 y 32)

• Las empresas son responsables de la seguridad y confidencialidad de los datos personales que manejan

• La Ley crea el “secreto profesional”

• La empresa puede ser demandada por daños y perjuicios

• La Ley establece sanciones penales de 1 mes a 3 años por falsificación o violación/revelación indebida de registros

• La Dirección establecerá multas por incumplimientos

Multas

• Las multas son de $1.000 a $100.000

• El importe dependerá de:

• la naturaleza de los derechos personales afectados

• el volumen de los tratamientos efectuados

• los beneficios obtenidos

• el grado de intencionalidad

• la reincidencia

• los daños y perjuicios causados a las personas interesadas y a terceros

• cualquier otra circunstancia que sea relevante para determinar el grado de antijuricidad y de culpabilidad.

Orientaciones

• Revise la seguridad de sus sistemas... y vuelva a revisarla
• Comprometa por escrito a su personal y a sus proveedores
• No pierda demasiado sueño: las sanciones penales presuponen intención en el delito
• Probablemente nos ayudan, más que amenazarnos

Transferencia Internacional (Art. 12)

• Hasta que la Dirección respectiva declare que un país no brinde “protección adecuada”, no habrá restricciones

• Al evaluar la protección existente en otros países, las autoridades tomarán en cuenta no solamente las normas legales sino también los sistemas de autorregulación y el amparo que establezcan las cláusulas contractuales que prevean la protección de datos personales

• Si un país fuera declarado sin protección adecuado, se necesitaría consentimiento previo del titular para transferir los datos, a menos que provengan de registros públicos abiertos a la consulta

Orientación:

• No preocuparse demasiado por la transferencia internacional

• AMDIA no prevé que las autoridades declaren “sin protección adecuada” a los países con los cuales nuestros socios quisiesen transferir datos

CONCLUSIÓN

• “Tranquilos” – no hay nada dramático

• Hay algunos puntos nuevos para atender

• Requerimiento de informar del “opt out” en cada mensaje

• Todo lo demás se resume como sigue:

• Cumpla religiosamente con las disposiciones de nuestro Código de Ética

• Es, y siempre ha sido, más exigente que la Ley en casi todos los aspectos

PRIVACIDAD

Posición de AMDIA sobre Privacidad

• La Privacidad es EL gran tema del marketing directo e interactivo del futuro

• Se complica, muchas veces innecesariamente, por la agitación de políticos y periodistas normalmente muy mal documentados

• Su verdadera importancia radica en las reacciones, preocupaciones y gustos de los clientes

Esencia: CONFIANZA

El Código de Ética de AMDIA, en lo que hace a Privacidad
Bases de Datos:
Correo Directo, Telemarketing, Internet

• Se deben respetar las leyes y reglamentos vigentes

• El que recabe datos debe identificarse claramente

• No se debe llamar a TEs que no figuren en guía, sin que la persona lo solicite

• Al recabar datos, se debe avisar si pueden tener un uso promocional y/o ser transferidos a terceros, ofreciendo el “opt out”

• En el caso de menores de 13 años, debe contar con la autorización de los padres

• Normas adicionales de protección a menores

• Se admite el tratamiento de datos “sensibles” cuando es indispensable, pero sólo si se cuenta con el consentimiento expreso del titular

• Uso obligatorio del Servicio de Preferencia (“Robinson” list; opt-out general): 4373-3232

• Rigoroso respeto del derecho de “opt out” sin cargo

• Derecho del individuo de conocer sus datos y hacer correcciones

• Debe evitarse la duplicación de registros

• Debe realizarse las correcciones de inmediato

• Debe eliminarse a fallecidos de inmediato

• Debe informar al proveedor de la lista cuando se detecten errores

• Debe asegurarse de la legitimidad del origen de los datos comprados y exigir constancia por escrito del proveedor

• Debe evitar el uso de listas que no hayan sido utilizadas y/o actualizadas en los últimos 2 años

• Debe seleccionar los segmentos más adecuados para recibir la oferta

• Si bien los usos y costumbres dictan que un mensaje de MD nunca tiene que develar conocimientos que no sean propios de la empresa que firma la oferta...

• ...a cualquier titular que pregunte, se le debe informar sobre el proveedor de los datos

• Antes de vender o alquilar datos, debe establecer la verdadera intención de uso, que debe ajustarse al Código de Ética de AMDIA

• También para links en Internet

• Se debe proteger los datos contra pérdida o acceso indebido

• Párrafo especial para E-Commerce

• Se debe garantizar que sus empleados cumplan con estrictas normas de confidencialidad

• Se debe mantener los datos pertinentes, no excesivos para el objeto y sólo por el tiempo necesario

• No se debe comunicar información que pueda ser considerada confidencial

• Responsables por cumplimiento del Código

• Dueños, administradores, brokers de listas

• Dueños de empresas que utilizan listas

• Gerentes/administradores, personalmente y en nombre de la empresa

• Proveedores de servicios que participen en el proceso

Otras disposiciones

• Especiales referentes a Telemarketing

• Orientación: llamadas de 9 a 20 / 9 a 13 los sábados; no llamar domingos o feriados

• Nunca utilizar artificios para ser atendidos

• etc.

• Especiales referentes a Internet

• Deben fijar e informar normas de privacidad

• Tipo de datos e información personal recopilada

• Potenciales usos de datos e información

• Naturaleza y fin de la revelación de los datos/info

• Tipos de personas a quienes se revela los datos/info

• Opt out on-line

• Avisos (emailings) deben ser facilmente identificables como tal

El Código de Ética de AMDIA, en lo que hace a Lealtad Comercial
Otras disposiciones sobre:

• La oferta

• Los sorteos

• Argumentos especiales (testeos, etc.)

• Características de producto

• Cumplimiento y atención a pedidos

• etc.

El Código de Ética de AMDIA, en lo que hace a Privacidad
Sanciones

• Apercibimiento, suspensión, expulsión

• Información a la opinión pública

• Información a Asociaciones o Cámaras Profesionales

Conclusión
El régimen de Protección de Datos establecidos por la Ley 25.325 y su Reglamentación no interfiere con el normal desenvolvimiento del Marketing Directo e Interactivo, incluyendo el “list broking”:

Las mismas normas de autorregulación de la actividad son y deben ser más exigentes que la Ley