Resumen de IA
Si tu sitio de WordPress tiene visitantes de la UE, estás sujeto al RGPD lo sepas o no, y tanto si tu negocio está en Europa como si no.
La mayoría de las guías sobre el RGPD y WordPress se centran en los banners de cookies y las políticas de privacidad. Esas cosas importan, pero hay un aspecto completo del cumplimiento que recibe mucha menos atención: los correos electrónicos que envía su sitio.
Cada vez que WordPress envía un restablecimiento de contraseña, una confirmación de pedido de WooCommerce o un boletín informativo, está procesando datos personales. Eso significa que se aplica el RGPD.
La buena noticia es que la mayor parte de lo que necesita hacer es sencillo una vez que comprende las reglas. Esta guía cubre todo: lo que el RGPD exige para el correo electrónico, la diferencia entre correos electrónicos transaccionales y de marketing, el consentimiento, el manejo de datos, la elección del remitente y la configuración técnica que lo mantiene en cumplimiento, incluida la forma de configurar WP Mail SMTP para cada requisito.
Nota: Esto no es asesoramiento legal. El cumplimiento del RGPD depende de su situación específica. Si tiene alguna duda, hable con un abogado cualificado.
- ¿Se aplica el RGPD a sus correos electrónicos de WordPress?
- Los dos tipos de correos electrónicos que envía su sitio
- Consejo para usuarios de WooCommerce
- Cómo recopilar el consentimiento por correo electrónico correctamente
- Qué cuenta como datos personales en sus correos electrónicos
- Elección de un remitente compatible con el RGPD
- Requisitos técnicos: cifrado, autenticación y notificación de violaciones
- Registros de correo electrónico y el derecho al olvido
- Cómo configurar WP Mail SMTP para el cumplimiento del RGPD
- Lista de verificación de cumplimiento de correo electrónico del RGPD
- Preguntas frecuentes
¿Se aplica el RGPD a sus correos electrónicos de WordPress?
Sí, si alguno de los visitantes de su sitio son residentes de la UE o del EEE, el RGPD se aplica a cómo maneja sus datos, incluida su dirección de correo electrónico.
Esto no se limita a las empresas de la UE. Una tienda WooCommerce en EE. UU., un sitio de membresía en Australia, una empresa de plugins en Canadá: si tiene clientes de la UE, el RGPD cubre cómo procesa sus datos personales.
Una dirección de correo electrónico es un dato personal según el RGPD. También lo es un nombre. También lo es una dirección IP. Cuando su sitio envía un correo electrónico a un cliente o suscriptor, está procesando esos datos.
Dicho esto, el RGPD no le impide enviar correos electrónicos. Significa que necesita una base legal para hacerlo, y las reglas difieren según el tipo de correo electrónico que esté enviando.
La aplicación de la ley es real y está aumentando. La autoridad española de protección de datos por sí sola ha emitido más de 1.000 multas desde que entró en vigor el RGPD, y las infracciones de marketing por correo electrónico son un objetivo constante. Google fue multado con 50 millones de euros en Francia por fallos en el consentimiento. Un servicio postal austriaco fue multado con 9,5 millones de euros por no gestionar adecuadamente las solicitudes de derechos de los interesados. No se trata de casos extremos, sino de los tipos de infracciones que ocurren cuando el manejo de datos no se ha mantenido al día con las normas.
Si usted es propietario de un sitio web con sede en EE. UU., también vale la pena saber que el RGPD es significativamente más estricto que CAN-SPAM, la ley federal de EE. UU. que rige el correo electrónico comercial. CAN-SPAM permite el marketing de exclusión (puede enviar correos electrónicos a las personas hasta que se den de baja). El RGPD requiere el consentimiento de inclusión antes de enviar. Si tiene visitantes de la UE, el cumplimiento de EE. UU. por sí solo no es suficiente.
Los dos tipos de correos electrónicos que envía su sitio
Su sitio de WordPress envía dos tipos de correos electrónicos fundamentalmente diferentes, y el RGPD los trata de manera diferente.
Correos electrónicos transaccionales
Los correos electrónicos transaccionales se activan por algo que hace el usuario. Confirmaciones de pedido, notificaciones de envío, restablecimiento de contraseñas, alertas de cuenta, respuestas de formularios de contacto. Estos correos electrónicos son esperados y los usuarios los desean.
Según el RGPD, generalmente no necesita un consentimiento separado para enviar correos electrónicos transaccionales. La base legal es "ejecución de un contrato" (el usuario compró algo, por lo que está completando esa transacción) o "interés legítimo" (enviar un restablecimiento de contraseña está claramente en el interés del usuario).
Pero hay un truco. En el momento en que agrega contenido promocional, como recomendaciones de productos, códigos de descuento y secciones de "quizás también te guste", ha cambiado la naturaleza del correo electrónico y puede necesitar consentimiento para esa parte.
El enfoque más seguro es mantener los correos electrónicos transaccionales estrictamente transaccionales. Si desea comercializar a los clientes después de una compra, utilice un correo electrónico separado con el consentimiento adecuado.
Para una mirada más profunda a las reglas sobre correos electrónicos transaccionales, consulte nuestra guía completa sobre mejores prácticas del RGPD para correos electrónicos transaccionales.
Correos electrónicos de marketing
Los correos electrónicos de marketing son diferentes. Si está enviando boletines informativos, campañas promocionales o cualquier correo electrónico cuyo propósito principal sea vender o promocionar, necesita el consentimiento explícito del destinatario antes de enviarlo.
Las casillas premarcadas no cuentan. El consentimiento agrupado (ocultar el permiso de marketing por correo electrónico dentro de los términos y condiciones) no cuenta. El consentimiento debe ser libremente otorgado, específico y fácil de retirar.
Cómo recopilar el consentimiento por correo electrónico correctamente
Si envía correos electrónicos de marketing a suscriptores de la UE, obtener el consentimiento correcto desde el principio es de donde se construye todo lo demás.
Cómo es el consentimiento válido
El suscriptor tiene que dar su consentimiento explícitamente marcando una casilla sin marcar, no una premarcada. El consentimiento debe ser específico para el marketing por correo electrónico, no estar oculto en un acuerdo general de privacidad. Y debe explicarse claramente: de quién van a recibir noticias y qué tipo de correos electrónicos recibirán.
También debe poder demostrar que se dio el consentimiento. Eso significa registrar cuándo ocurrió, qué decía el formulario y dónde se registró el suscriptor. Si no puede presentar registros de consentimiento durante una auditoría, es como si el consentimiento nunca hubiera existido.
Doble opt-in
El doble opt-in no es un requisito legal según el RGPD, pero es el enfoque más defendible. Cuando alguien se registra, recibe un correo electrónico de confirmación y solo se añade a su lista después de hacer clic para confirmar. Esto crea un rastro de auditoría claro y filtra las direcciones falsas o mal escritas.
Darse de baja tiene que ser fácil
Retirar el consentimiento debe ser tan fácil como darlo. Cada correo electrónico de marketing necesita un enlace para darse de baja que funcione. Cuando alguien se da de baja, procéselo de inmediato: las demoras son un riesgo de cumplimiento y un problema de confianza.
Formularios en su sitio
Cada formulario que recopila una dirección de correo electrónico debe ser claro sobre para qué se utilizará esa dirección. Los formularios de contacto y los formularios de suscripción a boletines tienen propósitos diferentes, por lo que necesitan un lenguaje de consentimiento diferente.
Si está utilizando WPForms, puede agregar un campo de consentimiento RGPD directamente a cualquier formulario, deshabilitar el seguimiento de IP y desactivar la recopilación de cookies, todo desde la configuración del formulario, sin necesidad de código.
¿Qué pasa con su lista de correo electrónico existente?
Si creó su lista antes de que el RGPD entrara en vigor en 2018 (o recopiló direcciones sin un opt-in claro), puede tener un problema. El consentimiento recopilado sin el lenguaje estándar del RGPD (casilla sin marcar, explicación clara de para qué se registraban los suscriptores) no cuenta.
El camino más seguro es una campaña de re-permiso: envíe un correo electrónico a su lista existente pidiendo a las personas que vuelvan a dar su consentimiento explícitamente y elimine a cualquiera que no lo haga. Es incómodo porque su lista se reducirá. Pero es mejor que una multa, y las personas que vuelven a confirmar están mucho más comprometidas que los contactos antiguos que apenas recuerdan haberse registrado.
Listas de correo electrónico compradas
No las use. El consentimiento del RGPD debe ser específico para su organización y las personas que consienten en escuchar a una empresa no han consentido en escucharle a usted. No puede comprar su camino hacia una lista de distribución válida según el RGPD.
Derechos del interesado y plazos de respuesta
Según el RGPD, sus suscriptores y clientes tienen derecho a acceder, corregir o eliminar los datos que usted tiene sobre ellos. Cuando alguien realiza una solicitud, tiene un mes para responder. Documente cada solicitud y cómo se manejó, ya que este es el tipo de cosas que surgen en las auditorías.
Qué cuenta como datos personales en sus correos electrónicos
Según el RGPD, los datos personales son cualquier información que pueda identificar a una persona, directa o indirectamente. Para fines de correo electrónico, eso incluye:
- Nombres y direcciones de correo electrónico
- Direcciones IP
- Historial de compras vinculado a una cuenta
- Detalles de la cuenta en el cuerpo del correo electrónico
Estos datos existen en sus registros de correo electrónico, su base de datos y, potencialmente, en los servidores de su proveedor de correo externo. Todos ellos están sujetos al RGPD.
Minimización de datos
El principio de minimización de datos del RGPD significa que solo debe recopilar y procesar los datos que realmente necesita. Si su formulario de contacto no necesita un número de teléfono, no lo recopile. En términos de correo electrónico, no incluya más información personal en sus mensajes de la que requiere la transacción. Una confirmación de pedido no necesita repetir el historial completo de la cuenta del cliente.
Períodos de retención
No puede conservar datos personales indefinidamente. El RGPD le exige que decida cuánto tiempo conservará los datos y que los elimine cuando ya no los necesite.
Para las listas de marketing por correo electrónico, esto significa revisar periódicamente a los suscriptores inactivos y eliminar a las personas que no han interactuado durante mucho tiempo. Para los registros de correo electrónico, significa no conservarlos más tiempo del necesario para sus fines comerciales. (Más información sobre esto en la sección de registros de correo electrónico a continuación).
Elección de un remitente compatible con el RGPD
Esta es la parte que la mayoría de los propietarios de sitios de WordPress pasan por alto. Cuando envía correos electrónicos a través de un servicio externo como SendLayer, Amazon SES, Mailgun, Gmail o cualquier otro proveedor SMTP, está compartiendo datos personales con un tercero.
Según el RGPD, si transfiere datos personales a un tercero para su procesamiento, necesita un acuerdo de procesamiento de datos (DPA) con ellos. Un DPA es un contrato que establece cómo el tercero manejará esos datos, qué medidas de seguridad tienen implementadas y qué sucede en caso de una violación.
La mayoría de los proveedores de servicios de correo electrónico de buena reputación ofrecen DPA, generalmente en su documentación de privacidad o legal. Si un proveedor no ofrece uno, es una señal de alerta que vale la pena tomar en serio.
¿Dónde se almacenan los datos?
Si sus datos de correo electrónico se almacenan en servidores fuera de la UE o el Reino Unido, la transferencia debe estar legalmente cubierta. Algunos proveedores tienen centros de datos en la UE a los que puede optar por participar. Otros se basan en Cláusulas Contractuales Tipo (SCC) para legitimar las transferencias de datos. Consulte las opciones de residencia de datos de su proveedor si esto es una preocupación para sus usuarios.
¿Qué remitentes guardan registros?
Muchos remitentes externos guardan registros de los correos electrónicos enviados a través de su servicio. Estos registros contienen datos personales. Según el derecho al olvido del RGPD, si un usuario le pide que elimine sus datos, debe poder gestionarlo en todos los sistemas, incluido su remitente.
Sepa cuáles de sus remitentes guardan registros y cómo eliminarlos si es necesario. Nuestros documentos de cumplimiento del RGPD de WP Mail SMTP cubren los principales remitentes y su comportamiento de registro.
Requisitos técnicos: cifrado, autenticación y notificación de violaciones
El RGPD exige que los datos personales se mantengan seguros, incluso cuando están en tránsito. Para el correo electrónico, esto significa dos cosas.
Cifrado TLS
Sus correos electrónicos deben enviarse a través de conexiones TLS (Transport Layer Security). Esto cifra el correo electrónico en tránsito para que no pueda ser interceptado.
La función predeterminada wp_mail() de WordPress no garantiza el cifrado TLS. Cuando utiliza WP Mail SMTP con un remitente de buena reputación, los correos electrónicos se envían a través de conexiones seguras y cifradas de forma predeterminada.
Autenticación de correo electrónico: SPF, DKIM y DMARC
La autenticación de correo electrónico no es solo una característica de entregabilidad, sino también de seguridad y cumplimiento. Estos tres protocolos verifican que los correos electrónicos que dicen provenir de su dominio se originaron realmente en usted, protegiendo su dominio de suplantaciones.
- SPF indica a los servidores de correo receptores qué servidores están autorizados para enviar correos electrónicos en nombre de su dominio.
- DKIM añade una firma criptográfica a cada correo electrónico, demostrando que no ha sido alterado durante el tránsito.
- DMARC establece una política sobre lo que sucede cuando los correos electrónicos fallan las comprobaciones SPF o DKIM, y le envía informes para que pueda supervisar lo que se envía en su nombre.
Sin una autenticación adecuada, alguien podría enviar correos electrónicos que parecen provenir de su dominio, suplantando a sus clientes utilizando su marca. Esto es un fallo de seguridad y una posible violación del RGPD, ya que pone en riesgo los datos de sus usuarios.
Para una guía completa de configuración, consulte nuestra guía sobre DMARC, SPF y DKIM.
Notificación de violación de datos
Si su sistema de correo electrónico se ve comprometido y se exponen datos personales, el RGPD le exige que notifique a su autoridad supervisora nacional en un plazo de 72 horas desde que tenga conocimiento de la violación. Si es probable que la violación cause un alto riesgo para las personas afectadas, también deberá notificárselo directamente.
Por eso la seguridad técnica no es opcional. Una autenticación débil, conexiones no cifradas y plugins obsoletos crean responsabilidades, no solo problemas de entregabilidad. Mantenga WP Mail SMTP y su proveedor de correo electrónico elegido actualizados, y utilice la prueba de correo electrónico integrada para verificar que su autenticación funciona correctamente.
Por qué el correo electrónico predeterminado de WordPress falla en ambos aspectos
WordPress utiliza la función mail() de PHP por defecto. Esto envía correos electrónicos directamente desde su servidor web, sin autenticación garantizada y a menudo sin TLS. Los correos electrónicos enviados de esta manera fallan en llegar con más frecuencia de lo que piensa, lo que significa que sus correos electrónicos transaccionales legalmente requeridos (restablecimientos de contraseña, pedidos de WooCommerce) pueden no llegar nunca a sus usuarios.
WP Mail SMTP reemplaza esto con una conexión SMTP adecuada a través de su proveedor de correo electrónico elegido, con cifrado y autenticación configurados correctamente.
Soluciona tus correos de WordPress ahora
Registros de correo electrónico y el derecho al olvido
El RGPD otorga a las personas el derecho a que sus datos personales sean eliminados: el "derecho al olvido".
Si un usuario solicita la eliminación de sus datos, debe gestionarlo en toda su configuración de correo electrónico:
- Su base de datos de WordPress (cuentas de clientes, entradas de formularios, registros de pedidos)
- Su lista de marketing por correo electrónico
- Registros de correo electrónico almacenados por WP Mail SMTP
- Registros mantenidos por su servicio de proveedor de correo electrónico
WP Mail SMTP Pro incluye un registro de correo electrónico que registra qué se envió, cuándo y a quién. Esto es útil para la documentación de cumplimiento, ya que crea un rastro de auditoría, pero también significa que necesita una política de retención para los datos del registro en sí.
Puede configurar WP Mail SMTP para purgar automáticamente los registros después de un período determinado, o eliminar manualmente los registros al gestionar solicitudes de borrado individuales.
Cómo configurar WP Mail SMTP para el cumplimiento del RGPD
Aquí tiene una guía paso a paso de la configuración de WP Mail SMTP que importa para el cumplimiento del RGPD.
Los pasos 1 y 2 a continuación para conectar un remitente y enviar un correo electrónico de prueba están disponibles en la versión gratuita de WP Mail SMTP. Los pasos 3 a 6 (registro de correos electrónicos, eliminación de datos, controles de correo electrónico y enrutamiento inteligente) requieren WP Mail SMTP Pro.
Paso 1: Conectar un remitente compatible con GDPR
Si todavía estás utilizando el correo PHP predeterminado de WordPress, el primer paso es conectar un remitente adecuado. WP Mail SMTP admite a los principales proveedores: SendLayer, Amazon SES, Mailgun, Brevo, Gmail, Outlook y más.
Desde tu panel de WordPress, ve a WP Mail SMTP > Ajustes > General.
En Conexión principal, selecciona tu remitente y sigue los pasos de configuración. Cada remitente se conecta a través de credenciales API o SMTP, y WP Mail SMTP te guía a través del proceso.
Una vez conectado, tus correos electrónicos pasan a través de una conexión SMTP adecuada y autenticada en lugar de correo PHP.
Antes de elegir tu remitente: Comprueba que tu proveedor ofrezca un acuerdo de procesamiento de datos. La mayoría de los principales proveedores (SendLayer, Amazon SES, Mailgun, Brevo) lo hacen. Si utilizas Gmail o Google Workspace, se aplican los términos de procesamiento de datos de Google.
Paso 2: Enviar un correo electrónico de prueba y verificar tu configuración
Después de conectar tu remitente, ve a WP Mail SMTP > Herramientas > Prueba de correo electrónico y envía una prueba a tu propia dirección de correo electrónico.
Comprueba que el correo electrónico llega, luego abre las cabeceras del correo electrónico (en Gmail: tres puntos > Mostrar original; en Outlook: Archivo > Propiedades) y busca:
- DKIM-Signature — confirma que DKIM está pasando
- spf=pass — confirma que SPF está pasando
- dmarc=pass — confirma que DMARC está pasando
Si alguno de estos falta o falla, la página de resultados de Prueba de correo electrónico de WP Mail SMTP marcará el problema y te dirá qué solucionar.
Paso 3: Configurar el registro de correos electrónicos
Función de WP Mail SMTP Pro. El registro de correos electrónicos está disponible en los planes Pro y superiores. Actualizar a Pro →
El registro de correos electrónicos de WP Mail SMTP Pro te proporciona un registro completo de cada correo electrónico que envía tu sitio, esencial para la documentación de cumplimiento.
Ve a WP Mail SMTP > Registro de correo electrónico para ver el registro. Desde WP Mail SMTP > Ajustes > Registros, puedes configurar:
- Registrar correos electrónicos — activa para empezar a grabar
- Registrar contenido de correo electrónico — graba el cuerpo completo del correo electrónico (útil para el cumplimiento, pero considera tus obligaciones de minimización de datos)
- Período de retención — establece cuántos días se conservan los registros antes de la eliminación automática
Establece un período de retención que refleje tus necesidades comerciales reales. Conservar los registros indefinidamente no cumple con la normativa; elige un período, documéntalo en tu política de privacidad y cúmplelo.
Paso 4: Gestionar solicitudes de eliminación de datos
Requiere registro de correos electrónicos (Pro). Solo puedes buscar y eliminar registros de correos electrónicos si el registro está habilitado.
Cuando un usuario ejerza su derecho de supresión, deberás eliminar sus registros de correo electrónico del registro de WP Mail SMTP.
En WP Mail SMTP > Registro de correo, busca la dirección de correo electrónico del usuario, selecciona sus registros y utiliza la opción de eliminación masiva para eliminarlos.
Asegúrate de también gestionar la eliminación en el nivel de tu proveedor de correo. Consulta la documentación de tu proveedor para saber cómo eliminar los registros de correos electrónicos enviados.
Paso 5: Revisa tus controles de correo electrónico
Función de WP Mail SMTP Pro. Los Controles de correo electrónico están disponibles en los planes Pro y superiores. Actualizar a Pro →
La función de Controles de correo electrónico de WP Mail SMTP Pro te permite gestionar qué tipos de correos electrónicos envía WordPress desde tu sitio y a través de qué conexión.
Ve a WP Mail SMTP > Ajustes > Controles de correo electrónico para ver una lista de tipos de correo electrónico por plugin y por WordPress principal: correos de pedidos de WooCommerce, notificaciones de comentarios, registro de usuarios y más.
Esto es útil para el cumplimiento de dos maneras:
- Puedes deshabilitar tipos de correo electrónico que tu sitio no necesita (minimización de datos, es decir, si no usas una función, no envíes sus correos).
- Puedes dirigir diferentes tipos de correo electrónico a través de diferentes proveedores de correo, por ejemplo, correos transaccionales de WooCommerce a través de SendLayer y notificaciones de cuenta separadas a través de una conexión diferente.
Paso 6: Configura una conexión de respaldo
Función de WP Mail SMTP Pro. El Enrutamiento inteligente y las conexiones de respaldo están disponibles en los planes Pro y superiores. Actualizar a Pro →
El Enrutamiento inteligente de WP Mail SMTP Pro te permite establecer una conexión de respaldo que se activa automáticamente si tu proveedor de correo principal falla. Esto es importante para el RGPD, ya que si tu correo de restablecimiento de contraseña no llega, los usuarios no pueden acceder a su cuenta, y eso es un fallo del servicio con implicaciones de privacidad.
Ve a WP Mail SMTP > Ajustes > Conexiones para añadir una conexión de respaldo y configurar el Enrutamiento inteligente.
Paso 7: Consulta la documentación RGPD de tu proveedor de correo
Una vez que tu proveedor de correo esté conectado, dedica 10 minutos a localizar y revisar su documentación RGPD/DPA. Necesitas confirmar:
- Hay un acuerdo de procesamiento de datos disponible (y acéptalo si es necesario)
- Sabes dónde se almacenan los datos y si salen de la UE/Reino Unido
- Entiendes su configuración de retención de registros y cómo eliminar registros si es necesario
Los proveedores más populares y dónde encontrar su documentación DPA:
| Proveedor | Documentación DPA |
|---|---|
| SendLayer | Disponible en su documentación de privacidad |
| Amazon SES | Acuerdo de procesamiento de datos de AWS |
| Mailgun | Disponible en los términos legales de Sinch/Mailgun |
| Brevo | Disponible en su documentación RGPD |
| Google Workspace | DPA de Google Workspace (aceptado automáticamente con los términos de Workspace) |
Lista de verificación de cumplimiento de correo electrónico del RGPD
Úsalo para auditar tu configuración actual.
Consentimiento y listas
- ☐ Los correos de marketing solo van a personas que han optado activamente
- ☐ Se almacenan los registros de consentimiento (cuándo, dónde, con qué estuvieron de acuerdo)
- ☐ Cada correo de marketing tiene un enlace de cancelación de suscripción funcional
- ☐ Las cancelaciones de suscripción se procesan rápidamente
- ☐ Los suscriptores inactivos se revisan periódicamente
Gestión de datos
- ☐ La política de privacidad está actualizada y enlazada en sus correos electrónicos
- ☐ Solo recopila campos de datos que realmente necesita
- ☐ Tiene una política de retención de datos definida y la sigue
- ☐ Puede responder a las solicitudes de acceso y supresión de datos en el plazo de un mes
Configuración técnica
- ☐ Los correos electrónicos de WordPress se envían a través de WP Mail SMTP (no PHP mail)
- ☐ Los correos electrónicos se envían mediante cifrado TLS
- ☐ Los registros SPF, DKIM y DMARC están configurados y son correctos
- ☐ La retención del registro de correos electrónicos está configurada en WP Mail SMTP
- ☐ Sabe qué servicios de correo guardan registros y cómo eliminar los datos
Servicios de correo de terceros
- ☐ Tiene un DPA con su proveedor de servicios de correo electrónico
- ☐ Sabe dónde almacena sus datos su servicio de correo y si estos salen de la UE/Reino Unido
Preguntas frecuentes
¿Se aplica el RGPD si no tengo sede en la UE?
Sí. Si tiene visitantes o clientes que residen en la UE o el EEE, el RGPD se aplica a cómo maneja sus datos, independientemente de dónde se encuentre su negocio.
¿Necesito consentimiento para enviar correos electrónicos transaccionales?
No, por lo general no. Los correos electrónicos transaccionales como confirmaciones de pedidos, restablecimientos de contraseñas y notificaciones de envío se rigen por el "interés legítimo" o la "ejecución de un contrato". No necesita un consentimiento de marketing por separado para ellos. Pero manténgalos estrictamente transaccionales porque añadir contenido promocional cambia la situación.
¿Es una dirección de correo electrónico un dato personal según el RGPD?
Sí. Una dirección de correo electrónico que pueda identificar a un individuo es un dato personal. También lo es un nombre, una dirección IP y cualquier historial de compras asociado a una cuenta.
¿Qué es un acuerdo de procesamiento de datos?
Un DPA es un contrato entre usted y cualquier tercero que procese datos personales en su nombre. Si utiliza un servicio SMTP externo o una plataforma de correo electrónico para enviar correos, necesita un DPA con ellos. La mayoría de los proveedores de confianza ofrecen estos en su documentación legal o de privacidad.
¿Almacena WP Mail SMTP datos personales en los servidores de Awesome Motive?
No. WP Mail SMTP almacena todos los datos del plugin en su propio sitio. Awesome Motive no retiene sus datos de correo electrónico.
¿Qué sucede si no cumplo con el RGPD?
Las multas pueden ascender a 20 millones de euros o al 4% de la facturación anual global, la cantidad que sea mayor. En la práctica, la aplicación suele comenzar con una advertencia o reprimenda antes de escalar a sanciones financieras. El riesgo más inmediato para la mayoría de las pequeñas empresas es el daño a la confianza del cliente.
¿Necesito un enlace para cancelar la suscripción en los correos electrónicos transaccionales?
No es estrictamente necesario para correos electrónicos puramente transaccionales, ya que no se envían sobre la base del consentimiento. Se recomienda incluir un enlace a su política de privacidad en todos los pies de página de los correos electrónicos.
¿Puedo usar Gmail como mi servicio de correo de WordPress?
Sí, pero revisa los términos de procesamiento de datos de Google si tienes usuarios de la UE. Gmail y Google Workspace procesan datos en los servidores de Google. Para envíos de gran volumen, un servicio de correo transaccional dedicado como SendLayer es más fiable y fácil de documentar para el RGPD.
¿Se aplica el RGPD a los correos electrónicos B2B?
Sí. Las direcciones de correo electrónico de trabajo como [email protected] identifican a un individuo, por lo que cuentan como datos personales. Las reglas son un poco más matizadas para B2B. El interés legítimo es más defendible al enviar correos electrónicos a contactos comerciales sobre productos o servicios relevantes, pero el consentimiento sigue siendo el enfoque más seguro. En caso de duda, obtén una autorización explícita.
¿Puedo usar una lista de correos comprada?
No. El consentimiento del RGPD debe ser específico para tu organización y las personas que consienten recibir correos electrónicos de otra empresa no han consentido recibir correos electrónicos tuyos. No puedes comprar una lista de correo válida según el RGPD.
¿Qué debo hacer con una lista de correos antigua recopilada antes del RGPD?
Si tu lista se creó sin un consentimiento estándar del RGPD (casilla de verificación no marcada, explicación clara de para qué se registraban las personas), te encuentras en un territorio incierto. La opción más segura es una campaña de re-permiso: envía un correo electrónico a la lista explicando qué envías y pidiendo a las personas que vuelvan a aceptar activamente, luego elimina a cualquiera que no responda. Tu lista se reducirá, pero los contactos restantes cumplirán y estarán significativamente más comprometidos.
¿Cuál es la diferencia entre el RGPD y CAN-SPAM?
CAN-SPAM es la ley federal de EE. UU. que regula el correo comercial. Permite el marketing de exclusión (opt-out): puedes enviar hasta que alguien te pida que te detengas. El RGPD requiere el consentimiento de inclusión (opt-in) antes de enviar tu primer correo electrónico de marketing. Si tienes visitantes de la UE, el cumplimiento de EE. UU. por sí solo no es suficiente. El RGPD se aplica adicionalmente.
¿Qué sucede si mi proveedor de correo electrónico es hackeado?
Si una brecha expone datos personales, el RGPD requiere que notifiques a tu autoridad supervisora nacional en un plazo de 72 horas. Si existe un alto riesgo para las personas afectadas, también debes notificarlas directamente. Es por eso que mantener tu plugin y tu servicio de correo actualizados, y tener un Acuerdo de Procesamiento de Datos (DPA) con tu proveedor, es importante: el DPA debe establecer las obligaciones de cada parte en caso de una brecha.
Esta guía cubre el aspecto del envío de correos electrónicos del cumplimiento del RGPD. Para un cumplimiento completo del RGPD en WordPress, incluyendo cookies, análisis y políticas de privacidad, consulta la guía definitiva de WPBeginner sobre WordPress y el cumplimiento del RGPD.
A continuación, Maximiza la Entregabilidad de tus Correos Electrónicos
Hacer que tus correos electrónicos cumplan con el RGPD es la mitad de la historia. La otra mitad es asegurarse de que realmente lleguen a la bandeja de entrada. La misma configuración técnica que protege tu cumplimiento (autenticación adecuada, un servicio de correo de buena reputación, conexiones cifradas) también tiene un gran impacto en si tus correos electrónicos llegan a la bandeja de entrada o a la carpeta de spam. Si deseas ir más allá, nuestra guía sobre mejores prácticas de entregabilidad de correo electrónico en WordPress cubre todo, desde la reputación del remitente y la higiene de la lista hasta subdominios y segmentación.
¿Listo para arreglar tus correos electrónicos? Empieza hoy mismo con el mejor plugin SMTP de WordPress. Si no tienes tiempo para arreglar tus correos electrónicos, puedes obtener asistencia completa de configuración White Glove como compra adicional, y hay una garantía de devolución de dinero de 14 días para todos los planes de pago.
Si este artículo te ha sido útil, síguenos en Facebook y Twitter para obtener más consejos y tutoriales de WordPress.
