Resumen de la IA
Si tu sitio web de WordPress recibe visitantes de la UE, estás sujeto al RGPD, lo sepas o no, y con independencia de que tu empresa tenga su sede en Europa o no.
La mayoría de las guías sobre el RGPD y WordPress se centran en los avisos sobre cookies y las políticas de privacidad. Esos aspectos son importantes, pero hay toda una faceta del cumplimiento normativo a la que se presta mucha menos atención: los correos electrónicos que envía tu sitio web.
Cada vez que WordPress envía un mensaje para restablecer una contraseña, una confirmación de pedido de WooCommerce o un boletín informativo, está tratando datos personales. Eso significa que se aplica el RGPD.
La buena noticia es que, una vez que entiendes las normas, la mayor parte de lo que tienes que hacer es muy sencillo. Esta guía lo abarca todo: los requisitos del RGPD para el correo electrónico, la diferencia entre los correos electrónicos transaccionales y los de marketing, el consentimiento, el tratamiento de datos, la elección del servicio de correo y la configuración técnica necesaria para cumplir con la normativa, incluyendo cómo configurar WP Mail SMTP para cada requisito.
Nota: Esto no constituye asesoramiento jurídico. El cumplimiento del RGPD depende de tu situación concreta. Si tienes alguna duda, consulta a un abogado especializado.
- ¿Se aplica el RGPD a tus correos electrónicos de WordPress?
- Los dos tipos de correos electrónicos que envía tu sitio web
- Consejo para usuarios de WooCommerce
- Cómo recabar el consentimiento para el uso del correo electrónico de forma adecuada
- ¿Qué se considera datos personales en tus correos electrónicos?
- Elegir un servicio de correo electrónico que cumpla con el RGPD
- Requisitos técnicos: cifrado, autenticación y notificación de violaciones de seguridad
- Registros de correo electrónico y el derecho al olvido
- Cómo configurar WP Mail SMTP para cumplir con el RGPD
- Lista de verificación del cumplimiento del RGPD en materia de correo electrónico
- Preguntas frecuentes
¿Se aplica el RGPD a tus correos electrónicos de WordPress?
Sí, si alguno de los visitantes de tu sitio web es residente en la UE o en el EEE, el RGPD se aplica al tratamiento que hagas de sus datos, incluida su dirección de correo electrónico.
Esto no se limita a las empresas de la UE. Una tienda de WooCommerce en EE. UU., un sitio web de suscripción en Australia, una empresa de plugins en Canadá: si tienes clientes de la UE, el RGPD regula la forma en que tratas sus datos personales.
Una dirección de correo electrónico es un dato personal según el RGPD. Lo mismo ocurre con un nombre. Y con una dirección IP. Cuando tu sitio web envía un correo electrónico a un cliente o suscriptor, está tratando esos datos.
Dicho esto, el RGPD no te impide enviar correos electrónicos. Lo que significa es que necesitas una base legal para hacerlo, y las normas varían en función del tipo de correo electrónico que envíes.
La aplicación de la normativa es una realidad y va en aumento. Solo la autoridad española de protección de datos ha impuesto más de 1 000 multas desde la entrada en vigor del RGPD, y las infracciones en el marketing por correo electrónico son un objetivo constante. Google fue multada con 50 millones de euros en Francia por incumplimientos en materia de consentimiento. Un servicio postal austriaco fue multado con 9,5 millones de euros por no gestionar adecuadamente las solicitudes de los interesados. No se trata de casos aislados, sino del tipo de infracciones que se producen cuando el tratamiento de datos no se ha adaptado a la normativa.
Si eres propietario de un sitio web con sede en EE. UU., también conviene saber que el RGPD es considerablemente más estricto que la ley CAN-SPAM, la ley federal estadounidense que regula el correo electrónico comercial. La ley CAN-SPAM permite el marketing de exclusión voluntaria (puedes enviar correos electrónicos a los usuarios hasta que se den de baja). El RGPD exige el consentimiento expreso antes de enviar cualquier mensaje. Si tienes visitantes de la UE, el cumplimiento de la normativa estadounidense por sí solo no es suficiente.
Los dos tipos de correos electrónicos que envía tu sitio web
Tu sitio de WordPress envía dos tipos de correos electrónicos fundamentalmente diferentes, y el RGPD los trata de forma distinta.
Correos electrónicos transaccionales
Los correos electrónicos transaccionales se activan en respuesta a una acción del usuario. Confirmaciones de pedidos, notificaciones de envío, restablecimientos de contraseña, alertas de cuenta, respuestas a formularios de contacto. Estos correos son esperados y los usuarios los desean.
Según el RGPD, por lo general no es necesario obtener un consentimiento específico para enviar correos electrónicos transaccionales. La base jurídica es bien la «ejecución de un contrato» (el usuario ha comprado algo, por lo que tú estás completando esa transacción) o el «interés legítimo» (enviar un enlace para restablecer la contraseña redunda claramente en interés del usuario).
Pero hay una trampa. En el momento en que añades contenido promocional, como recomendaciones de productos, códigos de descuento y secciones del tipo «también te puede interesar», has cambiado el carácter del correo electrónico y es posible que necesites consentimiento para esa parte.
Lo más seguro es limitar los correos electrónicos transaccionales estrictamente a las transacciones. Si quieres enviar mensajes de marketing a los clientes tras una compra, utiliza un correo electrónico independiente y asegúrate de contar con el consentimiento adecuado.
Si desea obtener más información sobre la normativa relativa a los correos electrónicos transaccionales, consulte nuestra guía completa sobre las mejores prácticas del RGPD para este tipo de correos.
Correos electrónicos de marketing
Los correos electrónicos de marketing son un caso aparte. Si envías boletines informativos, campañas promocionales o cualquier correo electrónico cuyo objetivo principal sea vender o promocionar, necesitas el consentimiento explícito del destinatario antes de enviarlo.
Las casillas marcadas de antemano no cuentan. El consentimiento agrupado (ocultar el permiso para recibir marketing por correo electrónico dentro de los términos y condiciones) tampoco cuenta. El consentimiento debe ser libre, específico y fácil de revocar.
Cómo recabar el consentimiento para el uso del correo electrónico de forma adecuada
Si envías correos electrónicos de marketing a suscriptores de la UE, obtener su consentimiento desde el principio es la base sobre la que se sustenta todo lo demás.
Cómo es un consentimiento válido
El suscriptor debe dar su consentimiento de forma activa marcando una casilla que no esté marcada de antemano, no una que ya esté marcada. El consentimiento debe referirse específicamente al marketing por correo electrónico, y no quedar oculto en un acuerdo general de privacidad. Además, debe explicarse claramente: de quién recibirán comunicaciones y qué tipo de correos electrónicos recibirán.
También debes poder demostrar que se dio el consentimiento. Esto implica registrar cuándo se produjo, qué figuraba en el formulario y dónde lo firmó el suscriptor. Si no puedes presentar los registros de consentimiento durante una auditoría, será como si el consentimiento nunca hubiera existido.
Doble confirmación
El doble opt-in no es un requisito legal según el RGPD, pero es el método más recomendable. Cuando alguien se suscribe, recibe un correo electrónico de confirmación y solo se le añade a tu lista después de hacer clic para confirmar. Esto genera un registro de auditoría claro y filtra las direcciones falsas o mal escritas.
Darse de baja tiene que ser fácil
Retirar el consentimiento debe ser tan fácil como darlo. Todos los correos electrónicos de marketing deben incluir un enlace de baja que funcione correctamente. Cuando alguien solicite la baja, tramítela sin demora: los retrasos suponen tanto un riesgo de incumplimiento normativo como un problema de confianza.
Formularios en tu sitio web
Todo formulario que recopile una dirección de correo electrónico debe indicar claramente para qué se utilizará dicha dirección. Los formularios de contacto y los de suscripción a boletines informativos tienen fines distintos, por lo que requieren un texto de consentimiento diferente.
Si utilizas WPForms, puedes añadir un campo de consentimiento del RGPD directamente a cualquier formulario, desactivar el seguimiento de direcciones IP y deshabilitar la recopilación de cookies, todo ello desde la configuración del formulario, sin necesidad de programar.
¿Qué pasa con tu lista de correo actual?
Si creaste tu lista antes de que entrara en vigor el RGPD en 2018 (o recopilaste direcciones sin un consentimiento expreso claro), es posible que tengas un problema. El consentimiento obtenido sin el lenguaje estándar del RGPD (casilla sin marcar, explicación clara de a qué se estaban suscribiendo los usuarios) no es válido.
La opción más segura es llevar a cabo una campaña de renovación de consentimientos: envía un correo electrónico a tu lista actual pidiendo a los destinatarios que vuelvan a dar su consentimiento de forma activa y elimina a quienes no lo hagan. Es una medida incómoda, ya que tu lista se reducirá. Pero es mejor que recibir una multa, y las personas que vuelven a confirmar su consentimiento están mucho más comprometidas que los contactos antiguos que apenas recuerdan haberse suscrito.
Listas de correo electrónico compradas
No las utilices. El consentimiento según el RGPD debe ser específico para tu organización, y las personas que dan su consentimiento para recibir comunicaciones de una empresa no han dado su consentimiento para recibirlas de ti. No puedes adquirir una lista de correo válida mediante el pago de una contraprestación económica según el RGPD.
Derechos de los interesados y plazos de respuesta
En virtud del RGPD, tus suscriptores y clientes tienen derecho a acceder, rectificar o suprimir los datos que tienes sobre ellos. Cuando alguien presente una solicitud, dispones de un mes para responder. Documenta cada solicitud y cómo se ha gestionado, ya que este tipo de cuestiones suelen surgir en las auditorías.
¿Qué se considera datos personales en tus correos electrónicos?
Según el RGPD, se consideran datos personales cualquier información que permita identificar a una persona, ya sea de forma directa o indirecta. En lo que respecta al correo electrónico, esto incluye:
- Nombres y direcciones de correo electrónico
- Direcciones IP
- Historial de compras vinculado a una cuenta
- Datos de la cuenta en el cuerpo del correo electrónico
Estos datos se encuentran en tus registros de correo electrónico, en tu base de datos y, posiblemente, en los servidores de tu proveedor de correo externo. Todos ellos están sujetos al RGPD.
Minimización de datos
El principio de minimización de datos del RGPD implica que solo debes recopilar y tratar los datos que realmente necesites. Si tu formulario de contacto no requiere un número de teléfono, no lo solicites. En lo que respecta al correo electrónico, no incluyas en tus mensajes más información personal de la que requiera la transacción. Una confirmación de pedido no necesita repetir el historial completo de la cuenta del cliente.
Plazos de conservación
No puedes conservar los datos personales indefinidamente. El RGPD exige que decidas durante cuánto tiempo vas a conservar los datos y que los elimines cuando ya no los necesites.
En el caso de las listas de marketing por correo electrónico, esto implica revisar periódicamente los suscriptores inactivos y eliminar a aquellas personas que no hayan interactuado desde hace tiempo. En cuanto a los registros de correo electrónico, significa no conservarlos más tiempo del necesario para tus fines comerciales. (Encontrarás más información al respecto en la sección sobre registros de correo electrónico más adelante).
Elegir un servicio de correo electrónico que cumpla con el RGPD
Este es el aspecto que la mayoría de los propietarios de sitios web de WordPress pasan por alto. Cuando envías correos electrónicos a través de un servicio externo como SendLayer, Amazon SES, Mailgun, Gmail o cualquier otro proveedor de SMTP, estás compartiendo datos personales con un tercero.
Según el RGPD, si se transfieren datos personales a un tercero para su tratamiento, es necesario celebrar un acuerdo de tratamiento de datos (DPA) con dicho tercero. Un DPA es un contrato que establece cómo gestionará el tercero dichos datos, qué medidas de seguridad ha adoptado y qué medidas se tomarán en caso de que se produzca una violación de la seguridad.
La mayoría de los proveedores de servicios de correo electrónico de renombre ofrecen acuerdos de procesamiento de datos (DPA), normalmente en su política de privacidad o en su documentación legal. Si un proveedor no ofrece uno, es una señal de alerta que conviene tomarse en serio.
¿Dónde se almacenan los datos?
Si tus datos de correo electrónico se almacenan en servidores fuera de la UE o del Reino Unido, la transferencia debe estar amparada legalmente. Algunos proveedores disponen de centros de datos en la UE a los que puedes optar por recurrir. Otros se basan en las cláusulas contractuales tipo (SCC) para legitimar las transferencias de datos. Comprueba las opciones de residencia de datos de tu proveedor si esto supone una preocupación para tus usuarios.
¿Qué programas de correo electrónico guardan registros?
Muchos proveedores de correo electrónico externos mantienen registros de los correos electrónicos enviados a través de su servicio. Estos registros contienen datos personales. En virtud del derecho de supresión previsto en el RGPD, si un usuario te solicita que elimines sus datos, debes poder gestionar esta solicitud en todos los sistemas, incluido tu proveedor de correo electrónico.
Averigua cuáles de tus programas de correo electrónico guardan registros y cómo eliminarlos si es necesario. Nuestra documentación sobre el cumplimiento del RGPD de WP Mail SMTP abarca los principales programas de correo electrónico y su comportamiento en materia de registro.
Requisitos técnicos: cifrado, autenticación y notificación de violaciones de seguridad
El RGPD exige que los datos personales se mantengan seguros, incluso cuando están en tránsito. En el caso del correo electrónico, esto implica dos cosas.
Cifrado TLS
Tus correos electrónicos deben enviarse a través de conexiones TLS (Transport Layer Security). Esto cifra el correo electrónico durante su transmisión, de modo que no pueda ser interceptado.
La configuración predeterminada de WordPress wp_mail() Esta función no garantiza el cifrado TLS. Cuando utilizas WP Mail SMTP con un cliente de correo electrónico de confianza, los correos electrónicos se envían a través de conexiones seguras y cifradas de forma predeterminada.
Autenticación de correo electrónico: SPF, DKIM y DMARC
La autenticación del correo electrónico no es solo una función relacionada con la capacidad de entrega, sino también con la seguridad y el cumplimiento normativo. Estos tres protocolos verifican que los correos electrónicos que afirman proceder de tu dominio realmente se hayan enviado desde tu dominio, lo que protege a este contra la suplantación de identidad.
- El SPF indica a los servidores de correo receptores qué servidores están autorizados a enviar correos electrónicos en nombre de tu dominio.
- DKIM añade una firma criptográfica a cada correo electrónico, lo que demuestra que no ha sido alterado durante el envío.
- DMARC establece una política sobre qué ocurre cuando los correos electrónicos no superan las comprobaciones de SPF o DKIM, y te envía informes para que puedas supervisar lo que se envía en tu nombre.
Sin una autenticación adecuada, alguien podría enviar correos electrónicos que parezcan proceder de tu dominio, lo que supondría un intento de suplantación de identidad (phishing) dirigido a tus clientes utilizando tu marca. Esto constituye un fallo de seguridad y una posible infracción del RGPD, ya que pone en riesgo los datos de tus usuarios.
Para obtener instrucciones detalladas sobre la configuración, consulta nuestra guía sobre DMARC, SPF y DKIM.
Notificación de violación de datos
Si su sistema de correo electrónico se ve comprometido y se filtran datos personales, el RGPD le obliga a notificarlo a la autoridad de control nacional en un plazo de 72 horas desde que tenga conocimiento de la violación. Si es probable que la violación suponga un riesgo elevado para las personas afectadas, también deberá notificárselo directamente a ellas.
Por eso la seguridad técnica no es opcional. Una autenticación débil, las conexiones sin cifrar y los complementos obsoletos suponen un riesgo, no solo problemas de entrega. Mantén actualizados WP Mail SMTP y el programa de correo que utilices, y utiliza la prueba de correo electrónico integrada para comprobar que tu autenticación funciona correctamente.
Por qué el correo electrónico predeterminado de WordPress falla en ambos aspectos
WordPress utiliza las funciones de PHP mail() función predeterminada. Esta envía los correos electrónicos directamente desde tu servidor web, sin autenticación garantizada y, a menudo, sin TLS. Los correos electrónicos enviados de esta manera no llegan a su destino con más frecuencia de lo que imaginas, lo que significa que tus correos electrónicos transaccionales obligatorios por ley (restablecimientos de contraseña, pedidos de WooCommerce) podrían no llegar nunca a tus usuarios.
WP Mail SMTP sustituye esto por una conexión SMTP adecuada a través del servidor de correo que hayas elegido, con el cifrado y la autenticación configurados correctamente.
Arregle sus correos electrónicos de WordPress ahora
Registros de correo electrónico y el derecho al olvido
El RGPD otorga a las personas el derecho a que se eliminen sus datos personales: el «derecho al olvido».
Si un usuario solicita la eliminación de sus datos, debes gestionarlo en toda tu configuración de correo electrónico:
- Tu base de datos de WordPress (cuentas de clientes, entradas de formularios, registros de pedidos)
- Tu lista de correo electrónico
- Registros de correo electrónico almacenados por WP Mail SMTP
- Registros conservados por tu servicio de correo electrónico
WP Mail SMTP Pro incluye un registro de correo electrónico que recoge qué se ha enviado, cuándo y a quién. Esto resulta útil para la documentación de cumplimiento normativo, ya que genera un registro de auditoría, pero también implica que es necesario contar con una política de conservación de los propios datos del registro.
Puedes configurar WP Mail SMTP para que borre automáticamente los registros tras un periodo determinado, o para que elimine manualmente los registros al gestionar solicitudes de supresión individuales.
Cómo configurar WP Mail SMTP para cumplir con el RGPD
A continuación te ofrecemos una guía paso a paso sobre los ajustes de WP Mail SMTP que son importantes para cumplir con el RGPD.
Los pasos 1 y 2 que se indican a continuación, relativos a la configuración de un servidor de correo y al envío de un correo electrónico de prueba, están disponibles en la versión gratuita de WP Mail SMTP. Los pasos 3 a 6 (registro de correos electrónicos, eliminación de datos, controles de correo electrónico y enrutamiento inteligente) requieren WP Mail SMTP Pro.
Paso 1: Conecta un servicio de correo electrónico que cumpla con el RGPD
Si todavía utilizas el servicio de correo PHP predeterminado de WordPress, el primer paso es configurar un servicio de correo adecuado. WP Mail SMTP es compatible con los principales proveedores: SendLayer, Amazon SES, Mailgun, Brevo, Gmail, Outlook y muchos más.
Desde el panel de control de WordPress, ve a WP Mail SMTP > Ajustes > General.
En «Conexión principal», selecciona tu programa de correo electrónico y sigue los pasos de configuración. Cada programa de correo electrónico se conecta mediante una API o credenciales SMTP, y WP Mail SMTP te guía a lo largo del proceso.
Una vez conectado, tus correos electrónicos se envían a través de una conexión SMTP adecuada y autenticada, en lugar de mediante PHP Mail.
Antes de elegir tu proveedor de correo electrónico: comprueba que ofrezca un acuerdo de tratamiento de datos. La mayoría de los principales proveedores (SendLayer, Amazon SES, Mailgun, Brevo) lo ofrecen. Si utilizas Gmail o Google Workspace, se aplican las condiciones de tratamiento de datos de Google.
Paso 2: Envía un correo electrónico de prueba y comprueba que todo funciona correctamente
Una vez que hayas conectado tu cliente de correo, ve a WP Mail SMTP > Herramientas > Prueba de correo electrónico y envía un mensaje de prueba a tu propia dirección de correo electrónico.
Comprueba que recibes el correo electrónico y, a continuación, abre los encabezados del mensaje (en Gmail: tres puntos > Mostrar original; en Outlook: Archivo > Propiedades) y busca:
- Firma DKIM: confirma que DKIM es válido
- spf=pass — confirma que el SPF es válido
- dmarc=pass — confirma que DMARC es válido
Si falta alguno de estos elementos o no funciona correctamente, la página de resultados de la prueba de correo electrónico de WP Mail SMTP te avisará del problema y te indicará qué debes corregir.
Paso 3: Configurar el registro de correos electrónicos
Función de WP Mail SMTP Pro. El registro de correos electrónicos está disponible en los planes Pro y superiores. Actualizar a Pro →
El registro de correo electrónico de WP Mail SMTP Pro te ofrece un historial completo de todos los correos electrónicos que envía tu sitio web, algo esencial para la documentación de cumplimiento normativo.
Ve a WP Mail SMTP > Registro de correo electrónico para ver el registro. Desde WP Mail SMTP > Ajustes > Registros, puedes configurar:
- Registrar correos electrónicos: activa esta opción para comenzar a registrar
- Registrar el contenido de los correos electrónicos: se guarda el texto completo del cuerpo del correo electrónico (útil para el cumplimiento normativo, pero ten en cuenta tus obligaciones en materia de minimización de datos)
- Período de retención: establece cuántos días se conservan los registros antes de su eliminación automática
Establece un plazo de conservación que se ajuste a las necesidades reales de tu empresa. Conservar los registros de forma indefinida no cumple con la normativa: elige un plazo, indícalo en tu política de privacidad y cúmplelo.
Paso 4: Gestionar las solicitudes de eliminación de datos
Requiere el registro de correos electrónicos (Pro). Solo podrás buscar y eliminar registros de correo electrónico si el registro está activado.
Cuando un usuario ejerza su derecho de supresión, deberás eliminar sus registros de correo electrónico del registro de WP Mail SMTP.
En WP Mail SMTP > Registro de correo electrónico, busca la dirección de correo electrónico del usuario, selecciona sus registros y utiliza la opción de eliminación masiva para borrarlos.
Asegúrate también de gestionar la eliminación desde tu programa de correo electrónico. Consulta la documentación de tu programa de correo electrónico para saber cómo eliminar los registros de los mensajes enviados.
Paso 5: Revisa tus ajustes de correo electrónico
Función de WP Mail SMTP Pro. Los controles de correo electrónico están disponibles en los planes Pro y superiores. Actualizar a Pro →
La función «Controles de correo electrónico» de WP Mail SMTP Pro te permite gestionar qué tipos de correos electrónicos envía WordPress desde tu sitio web y a través de qué conexión.
Ve a WP Mail SMTP > Ajustes > Controles de correo electrónico para ver una lista de los tipos de correo electrónico generados por los plugins y el núcleo de WordPress: correos electrónicos de pedidos de WooCommerce, notificaciones de comentarios, registro de usuarios y mucho más.
Esto resulta útil para el cumplimiento normativo de dos maneras:
- Puedes desactivar los tipos de correo electrónico que tu sitio web no necesite (minimización de datos; es decir, si no utilizas una función, no envíes los correos electrónicos correspondientes).
- Puedes enviar diferentes tipos de correos electrónicos a través de distintos proveedores de correo; por ejemplo, los correos transaccionales de WooCommerce a través de SendLayer las notificaciones de cuenta por separado a través de otra conexión.
Paso 6: Configurar una conexión de respaldo
Función de WP Mail SMTP Pro. El enrutamiento inteligente y las conexiones de respaldo están disponibles en los planes Pro y superiores. Actualizar a Pro →
La función «Smart Routing» de WP Mail SMTP Pro te permite configurar una conexión de respaldo que se activa automáticamente si falla tu servidor de correo principal. Esto es importante en el contexto del RGPD, ya que si el correo electrónico para restablecer la contraseña no llega, los usuarios no podrán acceder a su cuenta, lo que supone un fallo del servicio con implicaciones para la privacidad.
Ve a WP Mail SMTP > Ajustes > Conexiones para añadir una conexión de respaldo y configurar el enrutamiento inteligente.
Paso 7: Revisa la documentación sobre el RGPD de tu proveedor de correo electrónico
Una vez que tu proveedor de correo electrónico esté conectado, dedica 10 minutos a localizar y revisar su documentación sobre el RGPD/DPA. Debes confirmar lo siguiente:
- Hay un acuerdo de tratamiento de datos disponible (y acéptelo si es necesario)
- Sabes dónde se almacenan los datos y si salen de la UE o del Reino Unido
- Entiendes la configuración de conservación de registros y sabes cómo eliminarlos si es necesario
Los proveedores más populares y dónde encontrar su documentación sobre el acuerdo de tratamiento de datos:
| Proveedor | Documentación de la DPA |
|---|---|
| SendLayer | Disponible en su documentación sobre privacidad |
| Amazon SES | Anexo sobre el procesamiento de datos de AWS |
| Mailgun | Disponible en los términos legales de Sinch/Mailgun |
| Brevo | Disponible en su documentación sobre el RGPD |
| Espacio de trabajo de Google | Política de protección de datos de Google Workspace (que se acepta automáticamente al aceptar los términos de Workspace) |
Lista de verificación del cumplimiento del RGPD en materia de correo electrónico
Utiliza esto para revisar tu configuración actual.
Consentimiento y listas
- ☐ Los correos electrónicos de marketing solo se envían a las personas que se han suscrito expresamente
- ☐ Se guardan los registros de consentimiento (cuándo, dónde y qué se acordó)
- ☐ Todos los correos electrónicos de marketing incluyen un enlace de cancelación de suscripción que funciona
- ☐ Las bajas se tramitan de inmediato
- ☐ Los suscriptores inactivos se revisan periódicamente
Tratamiento de datos
- ☐ La política de privacidad está actualizada y aparece enlazada en tus correos electrónicos
- ☐ Solo recopilas los campos de datos que realmente necesitas
- ☐ Dispone de una política de conservación de datos definida y la cumple
- ☐ Puede responder a las solicitudes de acceso y supresión de datos en el plazo de un mes
Configuración técnica
- ☐ Los correos electrónicos de WordPress se envían a través de WP Mail SMTP (no mediante PHP Mail)
- ☐ Los correos electrónicos se envían mediante cifrado TLS
- ☐ Los registros SPF, DKIM y DMARC están configurados y superan las comprobaciones
- ☐ La retención de registros de correo electrónico está configurada en WP Mail SMTP
- ☐ Sabes qué programas de correo electrónico guardan registros y cómo borrar los datos
Servicios de correo electrónico de terceros
- ☐ Tienes un acuerdo de procesamiento de datos (DPA) con tu proveedor de servicios de correo electrónico
- ☐ Sabes dónde almacena los datos tu proveedor de correo electrónico y si estos salen de la UE o del Reino Unido
Preguntas frecuentes
¿Se aplica el RGPD si no tengo mi sede en la UE?
Sí. Si tienes visitantes o clientes residentes en la UE o el EEE, el RGPD se aplica al tratamiento que hagas de sus datos, independientemente de dónde se encuentre tu empresa.
¿Necesito consentimiento para enviar correos electrónicos transaccionales?
No, normalmente no. Los correos electrónicos transaccionales, como las confirmaciones de pedidos, los restablecimientos de contraseña y las notificaciones de envío, están amparados por el «interés legítimo» o el «cumplimiento de un contrato». No es necesario obtener un consentimiento específico para fines de marketing en estos casos. Sin embargo, asegúrate de que sean estrictamente transaccionales, ya que añadir contenido promocional cambia la situación.
¿Se considera una dirección de correo electrónico un dato personal según el RGPD?
Sí. Una dirección de correo electrónico que permita identificar a una persona es un dato personal. Lo mismo ocurre con un nombre, una dirección IP y cualquier historial de compras vinculado a una cuenta.
¿Qué es un acuerdo de tratamiento de datos?
Un acuerdo de tratamiento de datos (DPA) es un contrato entre usted y cualquier tercero que trate datos personales en su nombre. Si utiliza un servicio SMTP externo o una plataforma de correo electrónico para enviar mensajes, necesitará un DPA con ellos. La mayoría de los proveedores de confianza incluyen estos acuerdos en su documentación legal o de privacidad.
¿Almacena WP Mail SMTP datos personales en los servidores de Awesome Motive?
No. WP Mail SMTP almacena todos los datos del plugin en tu propio sitio web. Awesome Motive no conserva tus datos de correo electrónico.
¿Qué ocurre si no cumplo con el RGPD?
Las multas pueden ascender a 20 millones de euros o al 4 % de la facturación anual global, el que sea mayor. En la práctica, las medidas coercitivas suelen comenzar con una advertencia o una amonestación antes de pasar a sanciones económicas. El riesgo más inmediato para la mayoría de las pequeñas empresas es el deterioro de la confianza de los clientes.
¿Es necesario incluir un enlace para darse de baja en los correos electrónicos transaccionales?
No es estrictamente necesario en el caso de los correos electrónicos puramente transaccionales, ya que no se envían con el consentimiento del destinatario. Se recomienda incluir un enlace a tu política de privacidad en el pie de página de todos los correos electrónicos.
¿Puedo usar Gmail como servicio de correo electrónico para WordPress?
Sí, pero consulta las condiciones de tratamiento de datos de Google si tienes usuarios de la UE. Gmail y Google Workspace procesan los datos en los servidores de Google. Para envíos masivos, un servicio de correo electrónico transaccional específico como SendLayer más fiable y facilita el cumplimiento de los requisitos del RGPD.
¿Se aplica el RGPD a los correos electrónicos entre empresas?
Sí. Las direcciones de correo electrónico del trabajo, como [email protected], identifican a una persona, por lo que se consideran datos personales. Las normas son algo más matizadas en el ámbito B2B. El interés legítimo es más defendible cuando se envían correos electrónicos a contactos comerciales sobre productos o servicios relevantes, pero el consentimiento sigue siendo el enfoque más seguro. En caso de duda, solicita una autorización explícita.
¿Puedo utilizar una lista de direcciones de correo electrónico comprada?
No. El consentimiento previsto en el RGPD debe ser específico para su organización, y las personas que dan su consentimiento para recibir correos electrónicos de otra empresa no han dado su consentimiento para recibir correos electrónicos de usted. No se puede comprar una lista de correo válida según el RGPD.
¿Qué debo hacer con una lista de direcciones de correo electrónico antigua recopilada antes de la entrada en vigor del RGPD?
Si tu lista se creó sin el consentimiento exigido por el RGPD (casilla de suscripción sin marcar, explicación clara de a qué se estaban suscribiendo los usuarios), te encuentras en una situación delicada. La opción más segura es llevar a cabo una campaña de renovación del consentimiento: envía un correo electrónico a la lista explicando qué es lo que envías y pidiendo a los usuarios que vuelvan a dar su consentimiento de forma activa; a continuación, elimina a quienes no respondan. Tu lista se reducirá, pero los contactos que queden cumplirán con la normativa y estarán mucho más comprometidos.
¿Cuál es la diferencia entre el RGPD y la ley CAN-SPAM?
La ley CAN-SPAM es la ley federal estadounidense que regula el correo electrónico comercial. Permite el marketing de exclusión voluntaria: puedes enviar mensajes hasta que alguien te pida que dejes de hacerlo. El RGPD exige el consentimiento expreso antes de enviar tu primer correo electrónico de marketing. Si tienes visitantes de la UE, el cumplimiento de la normativa estadounidense por sí solo no es suficiente. El RGPD se aplica además.
¿Qué pasa si hackean mi proveedor de correo electrónico?
Si una violación de la seguridad da lugar a la exposición de datos personales, el RGPD exige que se notifique a la autoridad de control nacional en un plazo de 72 horas. Si existe un riesgo elevado para las personas afectadas, también es necesario notificárselo directamente a ellas. Por eso es importante mantener actualizados el plugin y el programa de correo electrónico, así como contar con un acuerdo de tratamiento de datos (DPA) con el proveedor; dicho acuerdo debe establecer las obligaciones de cada parte en caso de que se produzca una violación de la seguridad.
Esta guía aborda los aspectos relacionados con el envío de correos electrónicos en el marco del cumplimiento del RGPD. Para obtener información completa sobre el cumplimiento del RGPD en WordPress, incluyendo cookies, herramientas de análisis y políticas de privacidad, consulta la guía definitiva de WPBeginner sobre WordPress y el cumplimiento del RGPD.
A continuación, optimiza la capacidad de entrega de tus correos electrónicos
Asegurarte de que tus correos electrónicos cumplan con el RGPD es solo la mitad del camino. La otra mitad consiste en garantizar que lleguen realmente a la bandeja de entrada. La misma configuración técnica que garantiza el cumplimiento normativo (autenticación adecuada, un servidor de correo de confianza, conexiones cifradas) también influye en gran medida en que tus correos lleguen a la bandeja de entrada o a la carpeta de spam. Si quieres ir más allá, nuestra guía sobre las mejores prácticas de entregabilidad de correos electrónicos en WordPress abarca todo, desde la reputación del remitente y la limpieza de las listas hasta los subdominios y la segmentación.
¿Listo para arreglar tus correos electrónicos? Empieza hoy mismo con el mejor plugin SMTP para WordPress. Si no tienes tiempo para arreglar tus correos electrónicos, puedes obtener asistencia completa de White Glove Setup como compra adicional, y hay una garantía de devolución de dinero de 14 días para todos los planes de pago.
Si este artículo te ha ayudado, síguenos en Facebook y Twitter para más consejos y tutoriales sobre WordPress.
