Marina Brocca - Protección de Datos y Marketing Legal

Mail Chimp y Safe Harbor ¿Ahora qué?

regularizar Mail Chimp

Has elegido Mail Chimp para gestionar tus boletines y administrar tus listas de distribución pero con la disolución del acuerdo Safe Harbor, resulta que ya no sabes si es legal o no seguir utilizando esa plataforma.

Ante ese dilema nos encontramos muchos, en especial los que habíamos declarado ante la Agencia de Protección de Datos a Mail Chimp en el apartado de “transferencia internacional de datos” y hemos recibido una carta de la misma Agencia en donde nos indican que hemos de regularizar esa situación.

A la espera de un nuevo acuerdo que ya se está cocinando, no tienes otra opción que regularizar tu situación si quieres continuar trabajando con Mail Chimp.

¿Es legal trabajar con Mail Chimp?

Ya sabes que la principal preocupación tras el efecto tsunami de Safe Harbor es si puedes seguir utilizando Mail Chimp, si debes migrar a otra plataforma o que puedes hacer para seguir utilizando la plataforma sin riesgos ni escollos legales.

Tu como muchos otros (como yo) has elegido esta plataforma por muchos motivos de peso.

No solo resulta funcional, hasta ahora también era un servicio que permitía garantizar muchas de las exigencias de la LOPD:

  • Mail Chimp funciona con sistemas de validación doble opt-in para acreditar la identidad y voluntad de los suscriptores.
  • Mail Chimp permite generar sistemas de información al destinatario respondiendo al articulo Nº 5.
  • Mail Chimp, evita el envío multirremitente y los descuidos con la copia oculta.
  • Mail Chimp regula eficazmente las bajas de suscriptores, evitando envíos a destinatarios que han desistido de recibir nuevas comunicaciones comerciales, generando mayores garantías a clientes y usuarios al automatizar el proceso.

Por eso, Mail Chimp resultaba una alternativa idónea para gestionar las listas de correo de tu negocio desde el punto de vista legal.

¿Mail Chimp ya no es legal en la LOPD?

Desde el punto de vista de la LOPD (ley Orgánica de Protección de datos)  utilizar MailChimp significa tener que subir a la plataforma americana las direcciones de correo y los nombres de suscriptores o clientes a quienes hayas incluido en alguna lista.

Es esa transferencia internacional de datos lo que hay que regular, eso no significa que Mail Chimp no sea legal ni haya puesto empeño en defender la privacidad o que de pronto se hayan convertido en unos bandidos.

La AGPD no prohíbe de ninguna manera la utilización de Mail Chimp, solo exige que regularices esa situación.

¿Qué tengo que hacer para cumplir la LOPD si trabajo con Mail Chimp?

Hasta ahora, bastaba con declarar a la agencia Española de Protección de datos que trabajabas con Mail Chimp, que adquiría la condición de proveedor o encargado de tratamiento.

Al existir una comunicación de datos de carácter personal, esa comunicación se enmarca dentro la llamada “transferencia internacional de datos” ya  que se realiza fuera de la Unión Europea, y para poder hacerse eso se deben cumplir antes dos premisas:

  1. Que el proveedor extranjero del servicio cumpla con los requisitos exigidos en la LOPD .
  2. Que la Agencia Española de Protección de Datos autorice dicha transferencia (si considera que se hace respetando los derechos de los ciudadanos en cumplimiento con la LOPD).

Y aquí comienzan las complicaciones…

Estados Unidos, donde residen los servidores de Mail Chimp, no es un país que disponga de un nivel adecuado  de protección de datos y por tanto, transferir datos desde Europa a Estados Unidos supone en escollo legal que se resolvía con el certificado Safe Harbor.

Hasta ahora las empresas adheridas a Safe Harbor como Mail Chimp, obtenían la calificación de seguras y se entendía que cumplían con las exigencias en materia de protección de datos  exigidas por la UE.

Pero todo cambió al disolverse ese acuerdo y ahora, las empresas cuyos data centers estén ubicados en Estados Unidos, no se consideran seguras para que podamos transferir datos personales a estos servidores, como es el caso de Mail Chimp.

Volatilizado ese acuerdo, el escenario ha cambiado, tal como te explico en este otro post:

  Safe Harbor ¿ que alternativas tienes?

Hay una cosa que te debe quedar muy clara:

“Constituye falta muy grave, de acuerdo con lo dispuesto en el artículo 44.4.e) de la LOPD, “La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos salvo en los supuestos en los que conforme a esta Ley y sus disposiciones de desarrollo dicha autorización no resulta necesaria”.

Dicha autorización no sería necesaria en caso de que puedas acogerte a alguna de las excepciones del artículo 34, de los cuales, el mas oportuno en tu caso sería:
“Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista”

Pero para  que puedas acogerte a ese principio, deberías poder acreditar  dos cosas fundamentales para el consentimiento sea válido:

  • Debe ser inequívoco.
  • Debe ser informado (debes informar a los destinatarios que vas a utilizar Mail Chimp, explicarles la finalidad específica de esa transferencia, el país de destino)

¿Que alternativas hay para seguir utilizando Mail Chimp tras Safe Harbor?

Si no puedes acogerte a algunas de las excepciones del artículo 34, la Agencia Española de Protección de datos propone lo siguiente:

“La autorización de transferencia internacional de datos a un país que no ha sido declarado como país con un nivel adecuado de protección sólo podrá otorgarse si se obtienen garantías suficientes.

Así, podrá ser otorgada si el responsable del fichero aporta un contrato escrito, celebrado entre el exportador y el importador de datos, en el que consten las necesarias garantías de respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos”.

Según este principio, tu, como responsable del fichero, serías el exportador de datos y Mail Chimp el importador, por tanto, para que esa transferencia sea legal deberás:

  • Si todavía no lo has hecho, deberás declarar los ficheros indicando la Transferencia Internacional de datos a Mail Chimp con sede en EEUU.
  • Si ya lo habías inscrito antes de la disolución de Safe Harbor, deberás presentar un escrito de solicitud con identificación de los ficheros objeto de la transferencia con indicación del código con el que el fichero figura inscrito en el Registro General de Protección de Datos.
  • Lo siguiente es firmar con Mail Chimp un contrato basado en las Cláusulas Contractuales Tipo  (en este enlace tienes el contrato para firmar con mail chimp)
  • Deberás remitir ese acuerdo a la Agencia Española de Protección de Datos para obtener la correspondiente autorización.

Según un informe de la propia agencia,  las solicitudes de transferencia internacional de datos de encargado, prestador de servicios, a subencargado del tratamiento, que aporten un contrato entre ambos con las cláusulas elaboradas por la AEPD, junto con el contrato marco entre el responsable y el prestador de servicios donde se autorice la subcontratación, se considerarán que ofrecen las garantías adecuadas para la protección del derecho fundamental a la protección de datos.

Es por esto que de optar por requerir permiso de la Agencia Española de Protección de Datos que  es imprescindible que firmes el contrato que la propia plataforma pone a tu disposición y lo remitas a la Agencia Española de Protección de Datos, algo un rato de complicado, porque te exigen traducción jurada.

Así lo explica la propia plataforma Mail Chimp a sus usuarios:

“Nos tomamos en serio la privacidad de nuestros usuarios. Hemos actualizado nuestro Data Processing Agreement para incluir las Data Controller to Data Processor Standard Contractual Clauses, 2010. Animamos que nuestros usuarios revisen este acuerdo como relaciona a tu compañía, los sucriptores, o país, y que lo firmes y lo entregues por internet si coincidan con tus necesidades”

Aquí puedes consultar el resto del comunicado.

O puedes olvidarte de todas las anteriores y optar por la solución mas sencilla.

Como Regularizar Mail Chimp de manera sencilla y sin requerir autorización a la AGPD

Como te explicaba antes, hay una manera muy sencilla de ahorrarte todo lo anterior y es acogerte a uno de los supuestos legalmente excepcionados de la autorización de la Directora de la Agencia Española de Protección de Datos.

Acogerte a una de las excepciones del artículo 34

” Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista”

Pero para ello, debes contemplar dos acciones imprescindibles:

  • Se debe notificar a la AEPD
  • Se debe informar al interesado

Es decir, la LOPD prevé que si tus usuarios te dan su conformidad para que transfieras sus datos, no requieres ninguna autorización por parte de la AGPD, solo necesitarás informar a la agencia de esta circunstancia en el fichero y redactar cláusulas dirigidas a tus usuarios para informar y requerir su conformidad con la transferencia de sus datos, en este caso, a EEUU.

Esta es la manera mas sencilla de regularizar tu situación con Mail Chimp y trabajar con plenas garantías.

Para esto, deberás seguir unos simples pasos:

1) Inscribir los ficheros para que la AGPD: deberás indicar en la inscripción que te acoges a la excepción del artículo 34, empieza tu inscripción en este enlace.

Para ello, deberás  cumplimentar los correspondientes epígrafes del Apartado 10. Transferencias Internacionales con indicación del país y de la categoría de destinatarios de los datos.

Si no has realizado ninguna inscripción previa y es tu primera vez, deberás seguir estos pasos:

  1.   Declarar el  fichero que puedes llamar “Suscriptores o “Newsletter”, e indicaremos que su encargado de tratamiento está en el extranjero en el sistema nota.
  2.  Ya no marcaremos en “Modelo de declaración” que sea “Tipo”, sino que esta vez marcaremos “Normal”.
  3.  En el apartado “4 Encargado de tratamiento”, pondremos los datos de MailChimp : The Rocket Science Group, LLC d/b/a MailChimp
    512 Means St., Suite 404
    Atlanta, Georgia- 30318
  4. En el apartado “10 Transferencias internacionales”, seleccionaremos como país “EEUU ” y como categoría, “Prestadores de servicio”.
  5. Abajo, después de seleccionar el país EEUU que está a la izquierda, hay otro apartado llamado también  “categoría” a la derecha donde que hay que indicar “ Con consentimiento del afectado”

inscribir mail chimp

Terminamos de cumplimentar el resto del formulario NOTA y envías a AEPD. A los 15 días mas o menos recibirás la autorización .

Con esto ya cumpliremos para enviar datos de nuestros clientes a MailChimp de forma legal.

Lo mismo deberás hacer si utilizas Dropbox o eres partner de Gooogle Apps por ejemplo.

2)  Redactar cláusulas específicas dirigidas a tus usuarios:  en donde les informes que eres usuario de la plataforma Mail Chimp y que sus datos serán transferidos a EEUU con objeto de prestar el servicio de envío de boletines y requiriendo su autorización. Yo te recomiendo que incluyas esa cláusula informativa en el mismo boletín de Mail Chimp (en el autorresponder de bienvenida y en todos los boletines).

También debes indicarlo en tu política de privacidad.

¿Que otras alternativas hay a Mail Chimp tras Safe Harbor?

Hay muchas alternativas si no quieres regularizar Mail Chimp y quizás sea lo más práctico y sencillo para no complicarte y trabajar con garantías.

Cambiar de proveedor y buscar una plataforma con data centers en Europa como:

Todas te ofrecen plataformas ubicadas en España, están ajustadas a las exigencias LOPD/LSSI y te evitarán conflictos legales.

¿Tienes claro como tener tu listado Mail Chimp legalizado?

Nota posterior:

a 09/12/2015

Debido a las innumerables consultas que he recibido en estos días sobre el titular del Confidencial sobre “EL ULTIMATUM de la AEPD a las empresas españolas para utilizar Dropbox y otros servicios afectados por la disolución de Safe Harbor he de decir y digo:

Es fruto de  sensacionalismo barato y alarmista.

La propia AEPD ya lo ha desmentido y se ha pronunciado sobre ello.

No existe tal ultimátum, así que nada de desesperos y novias a la fuga.

Lee el comunicado de la AEPD

 

¿Ahora ya sabes como regularizar tu situación con Mail Chimp?

Si tienes mas dudas o necesitas ayuda con tu situación con Mail Chimp, ya sabes donde encontrarme.

54 Comentarios
    • Marina Brocca
    • Marina Brocca
    • Marina Brocca
    • Marina Brocca
    • Marina Brocca
    • Marina Brocca
    • Marina Brocca
    • Marina Brocca
    • Marina Brocca
    • Marina Brocca
    • Marina Brocca
    • Marina Brocca
    • Marina Brocca
    • Marina Brocca
    • Marina Brocca
    • Marina Brocca
      • Marina Brocca
    • Marina Brocca
        • Marina Brocca
    • Marina Brocca

Añade un Comentario

Al usar este formulario indicas que estás de acuerdo con la Política de Privacidad.
 

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *