Español

Captación de leads conforme al GDPR para mercados de la UE: Guía práctica de operaciones

La mayoría de los equipos de marketing B2B tienen una casilla de GDPR en sus formularios y creen que eso es suficiente. Por lo general, no lo es.

El cumplimiento del GDPR en la captación de leads tiene menos que ver con la casilla y más con la infraestructura que hay debajo: si el consentimiento se registra con una marca de tiempo, si solo recopila los datos que realmente usa, si tiene un proceso para eliminar datos cuando se solicita, y si sus herramientas de enriquecimiento de terceros están cubiertas por sus acuerdos de procesamiento de datos.

La casilla representa el 5% del trabajo de cumplimiento. El otro 95% es operativo: construir sistemas que gestionen el consentimiento, el almacenamiento y los derechos sobre los datos automáticamente, en lugar de requerir que alguien rastree manualmente una hoja de cálculo cuando un prospecto envía un correo electrónico preguntando qué datos tiene sobre él. Esta capa de cumplimiento se basa en la infraestructura de captación cubierta en Patrones de automatización de formularios a CRM que realmente escalan y en Automatización chat a CRM.

Esta guía está escrita para equipos de MarketingOps y RevOps, no para asesores legales. Cubre la implementación operativa: qué construir, dónde construirlo y cómo verificar que funciona. Aún debe contar con revisión legal para el lenguaje específico de su consentimiento. Eso está fuera del alcance de esta guía.

Qué exige realmente el GDPR en la captación de leads

Antes de adentrarse en la implementación, precisemos qué requiere el GDPR para la captación de leads:

Base jurídica para el tratamiento: Necesita una razón legal para recopilar y procesar datos personales. Para fines de marketing, esto es casi siempre el consentimiento. Para fines contractuales (por ejemplo, alguien es su cliente), puede usar el interés legítimo. Pero para la prospección, el consentimiento es el estándar. El Artículo 6 del GDPR sobre las bases jurídicas para el tratamiento enumera las seis bases jurídicas completas y explica cuándo aplica cada una: tanto el consentimiento como el interés legítimo son válidos, pero conllevan obligaciones muy distintas.

Consentimiento expreso: El consentimiento debe ser libre, específico, informado e inequívoco. Las casillas premarcadas no son válidas. Vincular el consentimiento de marketing a los términos de servicio no es válido. La persona debe optar activamente.

Registro del consentimiento: Debe poder demostrar que se obtuvo el consentimiento, cuándo se otorgó y para qué se concedió específicamente. Esto implica registrar el consentimiento con una marca de tiempo y una referencia de versión (qué versión de su política de privacidad aceptaron).

Minimización de datos: Solo debe recopilar los datos para los que tiene un uso específico. Recopilar 20 campos de formulario "porque tal vez los necesite algún día" no es conforme.

Límites de retención: No puede conservar datos personales indefinidamente. Necesita un período de retención definido y un proceso para eliminar o anonimizar los datos al término de ese período.

Derechos de los interesados: Las personas tienen derecho a saber qué datos tiene sobre ellas, a corregirlos y a que sean eliminados. Necesita un proceso para responder a estas solicitudes en un plazo de 30 días. La guía de la Comisión Europea sobre protección de datos detalla los ocho derechos otorgados a los ciudadanos de la UE bajo el GDPR, incluidos el derecho de acceso, rectificación, supresión y portabilidad, que su proceso de captación debe ser capaz de respetar.

Ninguno de estos requisitos es técnicamente complejo de implementar. Pero sí requieren un diseño intencional de su infraestructura de captación, no un cumplimiento añadido a posteriori.

Paso 1: Audite sus puntos de captación actuales en busca de consentimiento faltante

Antes de corregir algo, sepa lo que tiene. Realice una auditoría completa de cada lugar donde captura datos de leads.

Puntos de captación típicos para un equipo de marketing B2B:

  • Formularios web (contacto, solicitud de demo, descarga de contenido, registro a newsletter)
  • Flujos de chat (web chat, WhatsApp, mensajería social)
  • LinkedIn Lead Gen Forms
  • Meta Lead Ads
  • Formularios de registro de eventos
  • Formularios de registro de webinars
  • Formularios de referidos de socios
  • Cualquier herramienta de terceros que genere leads (plataformas de datos de intención, sitios de reseñas)

Para cada punto de captación, documente:

  1. ¿Hay lenguaje de consentimiento explícito? (No solo "al enviar este formulario acepta nuestra política de privacidad," que es insuficiente para leads de la UE)
  2. ¿El campo de consentimiento es obligatorio u opcional?
  3. ¿El consentimiento se registra con una marca de tiempo en su CRM?
  4. ¿Puede rastrear el consentimiento de un lead específico hasta la versión del formulario que envió?
  5. ¿Existe una ruta clara de opt-out?

Probablemente encontrará que algunos puntos de captación no tienen ningún lenguaje de consentimiento, algunos tienen el consentimiento vinculado a los términos de servicio, y unos pocos son realmente conformes. La auditoría le proporciona una lista priorizada de correcciones.

Plantilla de hoja de auditoría:

Punto de captación ¿Lenguaje de consentimiento presente? ¿Marca de tiempo registrada? Ruta de opt-out Corrección requerida
Formulario de solicitud de demo Sí (vinculado a T&C) No Enlace de baja Separar consentimiento, agregar marca de tiempo
Flujo de web chat No No Ninguna Agregar mensaje de consentimiento, registrar respuesta
LinkedIn Lead Gen Solo predeterminado de la plataforma No Opt-out de LinkedIn Agregar campo de consentimiento personalizado, registrar
Registro a newsletter Sí (independiente) Enlace de baja Conforme
Registro a webinar No No Ninguna Agregar campo de consentimiento

Paso 2: Implemente el lenguaje de consentimiento expreso

Reescriba su captación de consentimiento para que sea inequívoca. A continuación se presentan plantillas para cada canal de captación.

Lenguaje de consentimiento para formularios web

Versión conforme:

[ ] Acepto recibir comunicaciones de marketing de [Nombre de la empresa], incluidas 
actualizaciones de productos, eventos y contenido relacionado. Puedo retirar mi 
consentimiento en cualquier momento haciendo clic en "cancelar suscripción" en 
cualquier correo electrónico o contactando a [privacidad@suempresa.com].

Elementos clave: la casilla está sin marcar por defecto, describe qué comunicaciones recibirán, proporciona una ruta clara de opt-out, nombra la empresa.

Versión no conforme (no utilizar):

[X] Al enviar este formulario, acepta nuestros Términos de servicio y Política de privacidad.

Esto vincula el consentimiento de servicio con el consentimiento de marketing, marca previamente la casilla y no describe qué acepta recibir el lead.

Lenguaje de consentimiento para flujos de chat

Para flujos de web chat o WhatsApp, agregue un paso de consentimiento al inicio de la conversación, antes de recopilar cualquier información de contacto:

Bot: "Antes de continuar, quiero informarle que [Empresa] puede dar seguimiento por 
correo electrónico o teléfono según nuestra conversación. ¿Consiente recibir 
comunicaciones de seguimiento?"

[Sí, doy mi consentimiento] [No, solo estoy navegando]

Si el lead selecciona "No, solo estoy navegando," puede seguir recibiendo ayuda en el chat. Pero los detalles de su conversación no entran en su sistema de automatización de marketing.

Consentimiento en LinkedIn Lead Gen Forms

La plataforma de LinkedIn incluye una divulgación de consentimiento predeterminada, pero para campañas dirigidas a la UE, necesita una pregunta personalizada. La configuración completa de la integración de LinkedIn, incluido dónde agregar este campo de consentimiento en Campaign Manager, se cubre en LinkedIn Lead Gen Forms a CRM: Enrutamiento automatizado que realmente funciona.

Agregue una pregunta personalizada obligatoria:

Etiqueta: "Consentimiento de marketing"
Texto de la pregunta: "Acepto recibir comunicaciones de marketing de [Nombre de la empresa]. 
                       Puedo darme de baja en cualquier momento."
Opciones: "Sí, doy mi consentimiento" (obligatorio)

Hágalo obligatorio. Si no dan su consentimiento, no deben recibir su secuencia de nurturing estándar.

Registro de eventos/webinars

[ ] Acepto recibir comunicaciones de [Nombre de la empresa] relacionadas con este evento 
y futuros eventos y ofertas. Puede darse de baja en cualquier momento a través del 
enlace de baja o enviando un correo a [privacidad@suempresa.com].

Separado de la confirmación de registro al evento. Una persona que se registra a su webinar no ha dado consentimiento para recibir marketing. Ha dado consentimiento para comunicaciones del evento. Son cosas distintas.

Paso 3: Aplique la minimización de datos

Revise cada campo de formulario que recopila y elimine los que no usa activamente en sus flujos de trabajo.

Para cada campo, pregúntese: en los 90 días posteriores a la captación de este dato, ¿su equipo realiza alguna acción basada en él? Si la respuesta es "es útil tenerlo" en lugar de "sí, específicamente este campo impulsa la acción X," elimínelo.

Patrones comunes de recopilación excesiva:

Tamaño de empresa en todos los formularios: Útil si enruta por tamaño de empresa. No útil si lo captura y nunca lo usa. Si no tiene reglas de enrutamiento basadas en tamaño de empresa, elimine este campo.

Número de teléfono en formularios de descarga de contenido: Justificado si tiene un equipo SDR que llama a todos los descargadores de contenido. No justificado si los números de teléfono quedan sin usar en el CRM.

Cargo con opciones detalladas: "Director de Generación de Demanda" es más datos de los que necesita si solo enruta por categorías amplias. "Director" es suficiente.

URL de LinkedIn: Útil si tiene un flujo de trabajo que la usa. A menudo se captura "por si acaso" y nunca se utiliza.

El conjunto mínimo viable para la mayoría de la captación de leads B2B:

  • Correo electrónico (obligatorio: campo de identidad)
  • Nombre (opcional: personalización)
  • Nombre de la empresa (opcional: enrutamiento y calificación)
  • Campo de consentimiento (obligatorio: base jurídica)

Todo lo demás debe agregarse solo cuando exista un flujo de trabajo específico que lo utilice.

Paso 4: Establezca políticas de retención con archivado automático

El GDPR requiere que no conserve datos personales más tiempo del necesario. "Necesario" significa mientras tenga una relación activa o una razón legítima para el seguimiento.

Una política práctica de retención para la captación de leads B2B:

Leads activos (en proceso de venta o nurturing activo): Conservar indefinidamente mientras la relación esté activa.

Leads fríos (capturados pero sin interacción en 12 meses): Archivar o eliminar.

Leads descalificados (explícitamente no calificados o negocios perdidos): Conservar 6 meses para análisis de reactivación, luego eliminar.

Contactos dados de baja: Eliminar datos personales (conservar solo el registro de supresión de correo electrónico para asegurarse de no agregarlos nuevamente a las listas).

Implemente esto en su CRM usando flujos de trabajo automatizados:

En HubSpot: Cree un flujo de trabajo que se ejecute mensualmente en contactos con Fecha de última actividad superior a 12 meses atrás Y sin negocios abiertos. Acción: marcar como "Archivado" (o eliminar si tiene un flujo de trabajo de eliminación). Envíe un correo de reactivación antes de la eliminación: "Ha pasado un tiempo desde nuestra última comunicación. ¿Desea mantenerse en contacto?" Si no hay respuesta en 30 días, eliminar.

En Salesforce: Cree un Flow programado que consulte Leads sin actividad en 12 meses y los convierta a un estado "Frío," active una campaña de reactivación final y los marque para eliminación si no responden.

Matriz de decisión de política de retención:

Estado del contacto Período de retención Acción al final del período
Lead activo (en secuencia) Indefinido (mientras esté activo) Sin acción
Lead frío (sin actividad 12 meses) 12 meses desde la última actividad Enviar correo de reactivación, luego eliminar
Negocio perdido 6 meses post-cierre Eliminar
Dado de baja Inmediatamente Eliminar (conservar registro de supresión)
Asistente al evento (sin más interacción) 6 meses post-evento Eliminar
Suscriptor a newsletter con consentimiento Indefinido (mientras esté suscrito) Sin acción

Paso 5: Cree un flujo de trabajo de solicitudes de acceso

Bajo el GDPR, cualquier persona puede solicitar:

  • Qué datos personales tiene sobre ella
  • El derecho a corregir esos datos
  • El derecho a que esos datos sean eliminados (el "derecho al olvido")

Debe responder en un plazo de 30 días. La mayoría de los equipos no tiene un proceso para esto y se apresura a responder manualmente cuando llegan las solicitudes.

Cree un flujo de trabajo sencillo:

Recepción: Publique una dirección de correo electrónico [privacidad@suempresa.com] o un formulario web para solicitudes de privacidad. Hágalo accesible desde la página de su política de privacidad.

Clasificación: Cuando llegue una solicitud, categorícela:

  • Solicitud de acceso a datos: ¿Qué datos tiene sobre mí?
  • Solicitud de corrección: Por favor, actualice X a Y
  • Solicitud de supresión: Elimine todos mis datos

Respuesta a solicitudes de acceso: Exporte todos los datos del solicitante desde su CRM, MAP y cualquier otra herramienta que almacene sus datos. Fuentes comunes: registro de contacto en CRM, historial de interacciones por correo electrónico, registros de asistencia a webinars, historial de conversaciones de chat. Compílelos en un formato legible y responda en un plazo de 30 días.

Respuesta a solicitudes de supresión: Elimine el contacto de su CRM, retírelo de todas las listas de correo, solicite la eliminación a cualquier herramienta de enriquecimiento de terceros que haya procesado sus datos (Clearbit, Apollo, etc.) y confirme la eliminación al solicitante por escrito.

Registre todas las solicitudes: Mantenga un registro de cada SAR recibida, la fecha de recepción, la respuesta proporcionada y la fecha de respuesta. Este es su registro de cumplimiento.

Lista de verificación de respuesta a SAR:

  • Datos del contacto en CRM exportados o eliminados
  • Datos de listas de correo exportados o retirados
  • Historial de conversaciones de chat localizado e incluido/eliminado
  • Solicitada la eliminación de datos de enriquecimiento de terceros
  • Registros de asistencia a webinars/eventos incluidos/eliminados
  • Respuesta enviada al solicitante dentro de los 30 días
  • Solicitud registrada en el expediente de cumplimiento

Paso 6: Revise las herramientas de enriquecimiento de terceros

Si usa herramientas como Clearbit, Apollo, ZoomInfo o servicios de enriquecimiento similares, necesita verificar que tengan acuerdos de procesamiento de datos (DPA) apropiados en vigor con usted.

Preguntas clave para cada proveedor de enriquecimiento:

  1. ¿Tienen disponible un DPA (Acuerdo de procesamiento de datos)?
  2. ¿Son conformes al GDPR en su propia recopilación y procesamiento de datos?
  3. ¿Permiten solicitudes de eliminación: puede solicitar que eliminen los datos de una persona específica?
  4. ¿Dónde almacenan los datos que han enriquecido? (El almacenamiento en la UE vs. fuera de la UE importa para las transferencias)

La mayoría de los proveedores de enriquecimiento reputados tienen DPAs disponibles a solicitud o en su página legal. Fírmelos. No asuma que una política de privacidad es suficiente. Los DPAs regulan específicamente la relación responsable-encargado del tratamiento bajo el GDPR.

Si un proveedor de enriquecimiento no puede proporcionar un DPA o no puede confirmar su conformidad con el GDPR, no lo use para datos de leads de la UE. Las multas por infracciones en el tratamiento de datos (hasta el 4% de los ingresos anuales globales) superan con creces el costo de cambiar de herramienta. Las directrices del Comité Europeo de Protección de Datos sobre los encargados del tratamiento aclaran la relación responsable-encargado y especifican exactamente qué debe incluir un DPA válido, que es la lista de verificación autorizada para evaluar los acuerdos con proveedores.

Errores comunes

Casillas de consentimiento premarcadas: Sigue siendo el error más frecuente. Bajo el GDPR, el consentimiento debe ser una acción afirmativa. Una casilla premarcada no es válida. Audite todos los formularios.

Vincular el consentimiento de marketing a los términos de servicio: "Al enviar acepta nuestros Términos de servicio" no es consentimiento de marketing. Sepárelos.

No registrar la marca de tiempo y la versión del consentimiento: Si se le cuestiona, necesita demostrar cuándo dieron su consentimiento y para qué. Un campo booleano is_consented: true en su CRM sin una marca de tiempo y una referencia a la versión de la política no es evidencia.

Ignorar el enriquecimiento de terceros: Muchos equipos se centran en sus propios formularios pero olvidan que las herramientas de enriquecimiento procesan datos personales de la UE en su nombre. Estos necesitan DPAs.

Sin proceso de eliminación para leads que se dan de baja: Darse de baja de un correo electrónico no significa que hayan solicitado la eliminación de datos, pero es una buena práctica honrar el espíritu de la solicitud y eliminar los datos de contacto (no solo retirarlos de la lista) para los contactos de la UE que se dan de baja.

Plantillas de lenguaje de consentimiento

Para formularios web (mínimo):

[ ] Acepto recibir comunicaciones de marketing de [Empresa]. 
    Retire su consentimiento en cualquier momento: [enlace de baja o privacidad@suempresa.com]

Para chat (conversacional):

"¿Podemos dar seguimiento por correo electrónico o mensaje según nuestra conversación de hoy? 
Puede darse de baja en cualquier momento."
[Sí, sin problema] [No, gracias]

Para generación de leads en anuncios (LinkedIn/Meta):

"Doy mi consentimiento para recibir comunicaciones de marketing de [Nombre de la empresa] 
incluyendo actualizaciones de productos y ofertas. Puedo darme de baja en cualquier momento."
[Campo obligatorio: "Doy mi consentimiento"]

Para eventos:

[ ] Acepto recibir comunicaciones de seguimiento del evento y de marketing 
    de [Empresa]. Puedo darme de baja en cualquier momento.

Medir lo que importa

Tasa de captación de consentimiento: ¿Qué porcentaje de leads basados en la UE tiene un registro de consentimiento con marca de tiempo? Debería ser el 100%. Cualquier diferencia significa que tiene leads en su sistema para quienes puede no tener una base jurídica para el marketing. Según la guía de gdpr.eu sobre los requisitos de consentimiento, las organizaciones deben poder demostrar que se obtuvo un consentimiento válido, lo que significa que una diferencia en su tasa de captación de consentimiento no es solo un problema de calidad de datos, sino una responsabilidad de cumplimiento.

Tiempo de respuesta a SAR: Realice seguimiento del tiempo desde la recepción de la SAR hasta la respuesta. El objetivo es menos de 15 días (el GDPR requiere 30, pero responder antes es mejor práctica). Si sistemáticamente supera los 25 días, su proceso necesita simplificación.

Tasa de utilización de campos de datos: Para cada campo que recopila, ¿qué porcentaje de leads tiene ese campo activamente usado en un flujo de trabajo dentro de los 90 días posteriores a la captación? Los campos de baja utilización deben eliminarse de sus formularios.

Tasa de finalización de eliminaciones: Para las solicitudes de supresión, confirme que todos los datos fueron eliminados de todos los sistemas en un plazo de 30 días. Cualquier diferencia es una brecha de cumplimiento.

Más información