Has elegido Mail Chimp para gestionar tus boletines y administrar tus listas de distribución pero con la disolución del acuerdo Safe Harbor, resulta que ya no sabes si es legal o no seguir utilizando esa plataforma.
Ante ese dilema nos encontramos muchos, en especial los que habíamos declarado ante la Agencia de Protección de Datos a Mail Chimp en el apartado de «transferencia internacional de datos» y hemos recibido una carta de la misma Agencia en donde nos indican que hemos de regularizar esa situación.
A la espera de un nuevo acuerdo que ya se está cocinando, no tienes otra opción que regularizar tu situación si quieres continuar trabajando con Mail Chimp.
¿Es legal trabajar con Mail Chimp?
Ya sabes que la principal preocupación tras el efecto tsunami de Safe Harbor es si puedes seguir utilizando Mail Chimp, si debes migrar a otra plataforma o que puedes hacer para seguir utilizando la plataforma sin riesgos ni escollos legales.
Tu como muchos otros (como yo) has elegido esta plataforma por muchos motivos de peso.
No solo resulta funcional, hasta ahora también era un servicio que permitía garantizar muchas de las exigencias de la LOPD:
- Mail Chimp funciona con sistemas de validación doble opt-in para acreditar la identidad y voluntad de los suscriptores.
- Mail Chimp permite generar sistemas de información al destinatario respondiendo al articulo Nº 5.
- Mail Chimp, evita el envío multirremitente y los descuidos con la copia oculta.
- Mail Chimp regula eficazmente las bajas de suscriptores, evitando envíos a destinatarios que han desistido de recibir nuevas comunicaciones comerciales, generando mayores garantías a clientes y usuarios al automatizar el proceso.
Por eso, Mail Chimp resultaba una alternativa idónea para gestionar las listas de correo de tu negocio desde el punto de vista legal.
¿Mail Chimp ya no es legal en la LOPD?
Desde el punto de vista de la LOPD (ley Orgánica de Protección de datos) utilizar MailChimp significa tener que subir a la plataforma americana las direcciones de correo y los nombres de suscriptores o clientes a quienes hayas incluido en alguna lista.
Es esa transferencia internacional de datos lo que hay que regular, eso no significa que Mail Chimp no sea legal ni haya puesto empeño en defender la privacidad o que de pronto se hayan convertido en unos bandidos.
La AGPD no prohíbe de ninguna manera la utilización de Mail Chimp, solo exige que regularices esa situación.
¿Qué tengo que hacer para cumplir la LOPD si trabajo con Mail Chimp?
Hasta ahora, bastaba con declarar a la agencia Española de Protección de datos que trabajabas con Mail Chimp, que adquiría la condición de proveedor o encargado de tratamiento.
Al existir una comunicación de datos de carácter personal, esa comunicación se enmarca dentro la llamada “transferencia internacional de datos” ya que se realiza fuera de la Unión Europea, y para poder hacerse eso se deben cumplir antes dos premisas:
- Que el proveedor extranjero del servicio cumpla con los requisitos exigidos en la LOPD .
- Que la Agencia Española de Protección de Datos autorice dicha transferencia (si considera que se hace respetando los derechos de los ciudadanos en cumplimiento con la LOPD).
Y aquí comienzan las complicaciones…
Estados Unidos, donde residen los servidores de Mail Chimp, no es un país que disponga de un nivel adecuado de protección de datos y por tanto, transferir datos desde Europa a Estados Unidos supone en escollo legal que se resolvía con el certificado Safe Harbor.
Hasta ahora las empresas adheridas a Safe Harbor como Mail Chimp, obtenían la calificación de seguras y se entendía que cumplían con las exigencias en materia de protección de datos exigidas por la UE.
Pero todo cambió al disolverse ese acuerdo y ahora, las empresas cuyos data centers estén ubicados en Estados Unidos, no se consideran seguras para que podamos transferir datos personales a estos servidores, como es el caso de Mail Chimp.
Volatilizado ese acuerdo, el escenario ha cambiado, tal como te explico en este otro post:
Safe Harbor ¿ que alternativas tienes?
Hay una cosa que te debe quedar muy clara:
«Constituye falta muy grave, de acuerdo con lo dispuesto en el artículo 44.4.e) de la LOPD, «La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos salvo en los supuestos en los que conforme a esta Ley y sus disposiciones de desarrollo dicha autorización no resulta necesaria».
Dicha autorización no sería necesaria en caso de que puedas acogerte a alguna de las excepciones del artículo 34, de los cuales, el mas oportuno en tu caso sería:
«Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista»
Pero para que puedas acogerte a ese principio, deberías poder acreditar dos cosas fundamentales para el consentimiento sea válido:
- Debe ser inequívoco.
- Debe ser informado (debes informar a los destinatarios que vas a utilizar Mail Chimp, explicarles la finalidad específica de esa transferencia, el país de destino)
¿Que alternativas hay para seguir utilizando Mail Chimp tras Safe Harbor?
Si no puedes acogerte a algunas de las excepciones del artículo 34, la Agencia Española de Protección de datos propone lo siguiente:
«La autorización de transferencia internacional de datos a un país que no ha sido declarado como país con un nivel adecuado de protección sólo podrá otorgarse si se obtienen garantías suficientes.
Así, podrá ser otorgada si el responsable del fichero aporta un contrato escrito, celebrado entre el exportador y el importador de datos, en el que consten las necesarias garantías de respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos».
Según este principio, tu, como responsable del fichero, serías el exportador de datos y Mail Chimp el importador, por tanto, para que esa transferencia sea legal deberás:
- Si todavía no lo has hecho, deberás declarar los ficheros indicando la Transferencia Internacional de datos a Mail Chimp con sede en EEUU.
- Si ya lo habías inscrito antes de la disolución de Safe Harbor, deberás presentar un escrito de solicitud con identificación de los ficheros objeto de la transferencia con indicación del código con el que el fichero figura inscrito en el Registro General de Protección de Datos.
- Lo siguiente es firmar con Mail Chimp un contrato basado en las Cláusulas Contractuales Tipo (en este enlace tienes el contrato para firmar con mail chimp)
- Deberás remitir ese acuerdo a la Agencia Española de Protección de Datos para obtener la correspondiente autorización.
Según un informe de la propia agencia, las solicitudes de transferencia internacional de datos de encargado, prestador de servicios, a subencargado del tratamiento, que aporten un contrato entre ambos con las cláusulas elaboradas por la AEPD, junto con el contrato marco entre el responsable y el prestador de servicios donde se autorice la subcontratación, se considerarán que ofrecen las garantías adecuadas para la protección del derecho fundamental a la protección de datos.
Es por esto que de optar por requerir permiso de la Agencia Española de Protección de Datos que es imprescindible que firmes el contrato que la propia plataforma pone a tu disposición y lo remitas a la Agencia Española de Protección de Datos, algo un rato de complicado, porque te exigen traducción jurada.
Así lo explica la propia plataforma Mail Chimp a sus usuarios:
«Nos tomamos en serio la privacidad de nuestros usuarios. Hemos actualizado nuestro Data Processing Agreement para incluir las Data Controller to Data Processor Standard Contractual Clauses, 2010. Animamos que nuestros usuarios revisen este acuerdo como relaciona a tu compañía, los sucriptores, o país, y que lo firmes y lo entregues por internet si coincidan con tus necesidades»
Aquí puedes consultar el resto del comunicado.
O puedes olvidarte de todas las anteriores y optar por la solución mas sencilla.
Como Regularizar Mail Chimp de manera sencilla y sin requerir autorización a la AGPD
Como te explicaba antes, hay una manera muy sencilla de ahorrarte todo lo anterior y es acogerte a uno de los supuestos legalmente excepcionados de la autorización de la Directora de la Agencia Española de Protección de Datos.
Acogerte a una de las excepciones del artículo 34
» Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista»
Pero para ello, debes contemplar dos acciones imprescindibles:
- Se debe notificar a la AEPD
- Se debe informar al interesado
Es decir, la LOPD prevé que si tus usuarios te dan su conformidad para que transfieras sus datos, no requieres ninguna autorización por parte de la AGPD, solo necesitarás informar a la agencia de esta circunstancia en el fichero y redactar cláusulas dirigidas a tus usuarios para informar y requerir su conformidad con la transferencia de sus datos, en este caso, a EEUU.
Esta es la manera mas sencilla de regularizar tu situación con Mail Chimp y trabajar con plenas garantías.
Para esto, deberás seguir unos simples pasos:
1) Inscribir los ficheros para que la AGPD: deberás indicar en la inscripción que te acoges a la excepción del artículo 34, empieza tu inscripción en este enlace.
Para ello, deberás cumplimentar los correspondientes epígrafes del Apartado 10. Transferencias Internacionales con indicación del país y de la categoría de destinatarios de los datos.
Si no has realizado ninguna inscripción previa y es tu primera vez, deberás seguir estos pasos:
- Declarar el fichero que puedes llamar «Suscriptores o “Newsletter”, e indicaremos que su encargado de tratamiento está en el extranjero en el sistema nota.
- Ya no marcaremos en “Modelo de declaración” que sea “Tipo”, sino que esta vez marcaremos “Normal”.
- En el apartado “4 Encargado de tratamiento”, pondremos los datos de MailChimp : The Rocket Science Group, LLC d/b/a MailChimp
512 Means St., Suite 404
Atlanta, Georgia- 30318 - En el apartado “10 Transferencias internacionales”, seleccionaremos como país “EEUU » y como categoría, “Prestadores de servicio”.
- Abajo, después de seleccionar el país EEUU que está a la izquierda, hay otro apartado llamado también «categoría» a la derecha donde que hay que indicar “ Con consentimiento del afectado”
Terminamos de cumplimentar el resto del formulario NOTA y envías a AEPD. A los 15 días mas o menos recibirás la autorización .
Con esto ya cumpliremos para enviar datos de nuestros clientes a MailChimp de forma legal.
Lo mismo deberás hacer si utilizas Dropbox o eres partner de Gooogle Apps por ejemplo.
2) Redactar cláusulas específicas dirigidas a tus usuarios: en donde les informes que eres usuario de la plataforma Mail Chimp y que sus datos serán transferidos a EEUU con objeto de prestar el servicio de envío de boletines y requiriendo su autorización. Yo te recomiendo que incluyas esa cláusula informativa en el mismo boletín de Mail Chimp (en el autorresponder de bienvenida y en todos los boletines).
También debes indicarlo en tu política de privacidad.
¿Que otras alternativas hay a Mail Chimp tras Safe Harbor?
Hay muchas alternativas si no quieres regularizar Mail Chimp y quizás sea lo más práctico y sencillo para no complicarte y trabajar con garantías.
Cambiar de proveedor y buscar una plataforma con data centers en Europa como:
Todas te ofrecen plataformas ubicadas en España, están ajustadas a las exigencias LOPD/LSSI y te evitarán conflictos legales.
¿Tienes claro como tener tu listado Mail Chimp legalizado?
Nota posterior:
a 09/12/2015
Debido a las innumerables consultas que he recibido en estos días sobre el titular del Confidencial sobre «EL ULTIMATUM de la AEPD a las empresas españolas para utilizar Dropbox y otros servicios afectados por la disolución de Safe Harbor he de decir y digo:
Es fruto de sensacionalismo barato y alarmista.
La propia AEPD ya lo ha desmentido y se ha pronunciado sobre ello.
No existe tal ultimátum, así que nada de desesperos y novias a la fuga.
¿Ahora ya sabes como regularizar tu situación con Mail Chimp?
Si tienes mas dudas o necesitas ayuda con tu situación con Mail Chimp, ya sabes donde encontrarme.
73 comentarios
Muchas gracias por mencionarnos Marina!
A vosotros por darnos alternativas tan buenas para seguir trabajando.
Un abrazo
Muy interesante!!!!
Muchas gracias Macarena!
Hola María, en tu opinión es mejor realizar la migración a otro proveedor que ir por el camino de las excepciones del artículo 34 o, realizar un contrato entre importador y exportador y notificarlo.
¿Y esto otro? A ver si interpreto bien esas excepciones.
1. Informar a las personas interesadas antes del alta en la lista de que sus datos se incorporan a MailChimp para que estén de acuerdo.
2. Informar a los actuales usuarios que ya están dados de alta para que den su consentimiento expreso de continuar.
¿sería una forma de resolverlo?
Buen Domingo.
Saludos.
Hola y gracias por pasarte por aquí. Podrías resolverlo vía consentimiento, pero asegurarte de que este es inequívoco e informado, y poder acreditarlo, no me parece la solución mas práctica y mas cómoda, porque tendrías que dar de baja a los usuarios que por cualquier razón, no te hayan otorgado ese consentimiento expreso. Creo que lo mas sencillo tal y como está el escenario actual, es migran los ficheros a otro proveedor.
Un abrazo!
Hola Marina,
Gracias por brindar toda esta información tan valiosa, la verdad es de agradecer.
No sé si me puedes ayudar con una duda que no me quedó clara. Yo recibí hoy mismo el alta en la LPDO y tengo claro que me voy a cambiar a mailrelay ¿tengo que hacer algo más o es suficiente con cambiar a mailrelay?
Gracias ! y un saludo,
Imilsis
Hola Imilsis, si has declarado a Mail Chimp en el fichero y aparece este como transferencia internacional de datos, lo suyo es que modifiques el fichero y suprimas a Mail Chimp como encargado de tratamiento y pongas a Mailrelay, en este caso, sin transferencia internacional claro.
Un abrazo
¡Muchas gracias por la mención Marina! (te envío un contacto desde el formulario)
¡y además gratis! 😉 no, de verdad, es un placer, además yo también tengo que migrar, lo haré en canto consiga enterarme de como se hace, que soy muy patosa para los temas técnicos.
Un fuerte abrazo!
Jajaja sí 🙂 la migración es muy fácil, al menos la parte de pasar los contactos, en nuestro blog un compañero hizo una pequeña guía (borra el enlace luego si lo ves oportuno http://blog.mailrelay.com/es/2013/11/06/pasar-los-contactos-de-mailchimp-a-mailrelay )
También puedes enviarme un correo y te ayudo en lo que pueda claro 🙂
Como siempre excelente artículo 😉
Vaya lío se ha formado con Safe Harbor… a adecuarse. También migraré, que es algo que ya tenía pendiente. tengo una cuenta en Mailrelay hace mucho y sé que funciona genial. No lo había hecho por «acomodación» hasta ahora. Un abrazo!
Gracias Joana por siempre regalarme tan buenas valoraciones, Mailrelay es una gran opción y sin complicaciones legales.
Un abrazo!
Hola Marina,
un post muy interesante para los usuarios de mailchimp. Me parece de todas formas que la mejor parte es el final, es decir, hay alternativas para no complicarse tanto la vida.
Y ahí es donde quería recomendar también psmailer.com, que es una herramienta española y que en mi opinión funciona como mínimo igual de bien que los Yankies.
Quizás no cuenta lo que diga yo, que soy el CEO de la empresa, pero probarla no cuesta nada, y descubrirlo vosotros mismos.
Muchas gracias, y por favor añadir psmailer a esa lista de 2 empresas que recomendáis como alternativa.
Hola Ricard, gracias por aportar otra alternativa a Mail Chimp, es genial tener opciones locales con las mismas prestaciones y muchísimas mas garantías legales para los que no quieren complicarse la vida.
Ahora que la señalas, le daré un vistazo a tu plataforma para poder formarme una opinión mas sólida sobre la misma.
Un fuerte abrazo y gracias por comentar en este espacio también.
Gracias a ti Marina,
especialmente por tratar temas de nuestro sector, y por no olvidar a las empresas nacionales. Somos varias en España y es importante que bloggers como tu nos deis difusión si lo merecemos.
Hola, gran tema, me interesa.
¿Qué ocurre con servicios parecidos? Mandrill que es como un smtp externo de Mailchimp que sólo envía correos con alto delivery; Disqus para comentarios; tener el correo con gmail o con Google Apps for Work; usar un blog con WordPress.com y tener un sistema de comentarios…. ¡¡Gracias!! .
Hola Javi, en cada caso opera el mismo principio, es decir, si hay tratamiento de información personal en cada aplicación , si esa información se almacena en servidores americanos (que la empresa sea americana no significa que no tengan servidores en Europa)
Mi consejo es no correr ni agobiarse, sobre todo con la posibilidad de que en breve surja un mejorado y quizá rebautizado Puerto Seguro 2.0.
Un abrazo y gracias por pasarte por aquí.
Gracias por el post, Marina!
La verdad es que es un problemón esto… Muchos usamos Mailchimp no solo porque es un buen servicio, sino porque se integra muy bien con otras herramientas (wordpress, lead pages, thrive leads…).
Las alternativas (Aweber, Get responde, etc) son americanas también. No creo que exista una alternativa con las mismas prestaciones en la UE.
Un saludo!
Samu
Hola Samu, creo que todos nos acostumbramos a Mail Chimp pero no necesariamente es insustituible, planteo otras alternativas que también funcionan muy bien e incluso ofrecen prestaciones en las opciones de pago que no ofrece Mail Chimp, como son los autoresponders. No obstante, creo que no hay que correr ni volverse locos, es mas que posible que en breve surjan alternativas a Safe Harbor.
Un fuerte abrazo!
Hola Samu!
con Mailrelay también tienes opciones de integración, con Instapages por ejemplo, thriveleads, etc. Mira justo tenemos un artículo donde se comentan estas cosas, porque no eres el único que nos lo ha preguntado 🙂
http://blog.mailrelay.com/es/2015/09/30/quiero-un-popup-para-mi-campana-de-email-marketing
Saludos!
Jose
Muchas gracias, Marina.
Y también gracias a Jose por la respuesta. Me he creado cuenta en Mailrelay y estoy empezando a trastear un poco 🙂
Hola Marina, ante todo muchas gracias por tu post. He recibido notificación de requerimiento por parte de la AEPD ya que actualmente mis datos se encuentran en EEUU bajo puerto seguro, que ahora ha sido invalidado. Me estoy planteando transferir todos los datos a una empresa europea y quería saber si una vez transferidos, a parte de modificar los ficheros para indicar el nuevo proveedor es necesario realizar algún otro trámite en respuesta al requerimiento de la AEPD.
Muchas gracias de antemano por tu atención.
Un saludo,
Sergio
Hola Sergio, entiendo que no sería necesario nada mas, pero yo te recomendaría que mandes copia de la modificación adjuntándola al requerimiento recibido a la agencia, de esa manera dejas constancia y puedes acreditar que has respondido efectivamente al requerimiento.
Un abrazo y gracias por comentar
Hola Marina, muchas gracias por tu pronta y amable respuesta. Lo haré tal como indicas. Un abrazo!
Hola Marina
Utilizó Mailchimp para Mus newsletters pero sólo tengo direcciones de correo. Ninguna otra información personal.
Me aplica también?
Hola, si te aplica, de hecho, todos los que usan Mail Chimp solo archivan direcciones de correos, el problema es que esa dirección constituye un dato de carácter personal, así que te afecta de lleno.
Un abrazo y gracias por comentar.
Felicidades, Marina, un artículo realmente completo, interesante y útil.
Muchas gracias Carlos por tu genial valoración y espero que te pases por aquí a menudo.
Un fuerte abrazo.
Hola a todos,
Como ha comentado Marina, en MDirector contamos con data centers en España, donde se alojan los datos de usuarios, por lo que somos una plataforma de email marketing que cumple con legislación vigente.
Os invito a qué echéis un vistazo a este post en el que ampliamos más información sobre Safe Harbor (o Puerto Seguro):
http://www.mdirector.com/blog/disolucion-safe-harbor-email-marketing/
Un saludo,
Ana
Gracias Ana por proponer otra alternativa a usuarios y lectores de esta web. Es importante que todos sepamos que hay vida después de Mail chimp. Un fuerte abrazo
Aclaración publicada por la Agencia de Protección de datos.
https://www.agpd.es/portalwebAGPD/canalresponsable/transferencias_internacionales/AplicacionSentenciaSH-ides-idphp.php
Espero que esto arroje luz a todos.
Gracias Javier, estaba también incluida en el post como nota final.
Un abrazo
Y los servicios de Google Adsense y Analytics que pasa, no se pueden usar?? Creo que están sus data centers en EEUU y supongo que desde Analytics obtendrán ip´s o de adsense algo también sacarán, no se … ¿Se sabe algo de esto?
Hola David, en los casos que señalas, operan las mismas normas y principios explicados en este post, se trata de transferencia internacional de datos, pero insisto en que no hay motivo para volverse loco.
Poco después de que se anulase el Safe Harbor, la Comisión Europea anunció haber llegado a un principio de acuerdo de transferencia de datos con Estados Unidos, ya se está hablando de un Safe Harbor 2.0 y si lo hubiera, estas empresas deberán encontrar data centers en Europa, como parece ser el caso de Dropbox.
Esperemos al 29 de enero y luego veremos que ocurre, pero en cualquier caso, nadie dice que tengamos de dejar de usar esos servicios, solo que hay mas requisitos.
Un abrazo
Buenos días! En primer lugar, muchísimas gracias, Marina, entre todo este berenjenal, tu post es el que más me ha ayudado a aclararme las ideas!
Como estamos empezando e inscribiríamos el archivo de contactos de mailchimp por primera vez, ¿tendría que firmar también el contrato modelo con mailchimp y pedir la autorización previa de la directora de la agencia? ¿Y tendría que aportar la traducción jurada y los poderes de los firmantes, como indican en la web de la agencia?
Un saludo!
Buena pregunta Irene, yo llevo 2 meses esperando respuesta por parte de la Agencia sobre lo que me preguntas. Yo te recomiendo que firmes si o si el contrato para que lo aportes junto con la inscripción o lo puedas acreditar en caso de ser requerido. Respecto a si es válido o no y si necesitas de traducción, se tiene que pronunciar la Agencia, que como te cuento, en mi caso todavía no lo han hecho pese a haber remitido 5 veces la misma consulta.
Gracias por pasarte por aquí Irene, espero que te quedes un rato por aquí, hay cosas mucho mas interesantes para ver que Mail Chimp 😉
Muchas gracias, Marina, ¡por la respuesta y por la rapidez!
Sí, estaré pendiente de lo que vayas publicando porque me parece muy interesante.
Un abrazo
Hola Marina:
Antes de nada, enhorabuena por tu estupendo blog y la responsabilidad corporativa sana que fomentas. Uno termina harto de tanto «pirata» suelto y es necesaria gente como tú que enseñe que se pueden hacer las cosas de otra manera, con ética.
Estoy tratando de elaborar mi lista de clientes para que se suscriban al boletín por correo de mi web/blog pero estoy paralizado por la LOPD:
Quiero hacerlo de forma que tenga 0 probelmas porque esto para mí no es una necesidad salarial sino un complemento, así que no quiero correr ningún riesgo ni tener preocupaciones.
Por una parte, al ser yo un particular y no una empresa, me queda grande el hecho de tener que «velar» en mi propio servidor por un fichero de datos, así que pensé en hacerlo a través de mailchimp o Mailrelay.
Pero luego te lees los terminos del servicio y te encuentras cosas como esta (Mailrelay):
«11.1.- EL CLIENTE responderá frente a CPC a la que mantendrá indemne de todos los gastos, costes, perjuicios y pérdidas de cualquier tipo en él se incurra como consecuencia de cualquier reclamación relativa al incumplimiento de cualquier deber legal o reglamentario…»
¿¿¿¿¿Y entonces qué responsabilidad tienen ellos frente a la LOPD????
«11.2.- EL CLIENTE se compromete a adoptar las medidas de seguridad necesarias para la protección de los datos personales exigidos por la LOPD y LSSI, y sus reglamentos de desarrollo encargándose con la debida autorización de estas empresas para la protección de estos datos, eximiendo a CPC de toda responsabilidad.»
¡¡¡¡¡????? Cómo me voy a encargar yo de tomar medidas en ficheros alojados en sus servidores?????????
La verdad es que estoy por no hacer una lista de correo visto lo visto…
Muchas gracias Marina por tu ayuda,
Hola Miguel, gracias por tu valoración de mi trabajo que aprecio sinceramente.
En cuanto a lo que comentas sobre los contratos de encargo de tratamiento hay dos figuras que debes conocer:
1) El responsable del fichero
2) El encargado de tratamiento.
Mailrelay sería encargado de tratamiento y como tal, debe respetar y garantizar las medidas de seguridad que establezca el responsable del fichero, es decir, tu en este caso.
Como responsable del fichero, la LOPD indica que debes asegurarte que el encargado de tratamiento asume la obligación de implementar las medidas de seguridad de los datos a fin de impedir su alteración, pérdida, tratamiento o acceso no autorizado, de acuerdo con el estado de la tecnología, la naturaleza de los datos y los riesgos a que estén expuestos los mismos.
Luego tu preguntas ¿Cómo me voy a encargar yo de tomar medidas en ficheros alojados en sus servidores? no puedes encargarte tu, pero si asegurarte de que el encargado firme un compromiso y luego si no lo cumple, será su responsabilidad, por eso se ha creado en «contrato de encargo de tratamiento», muchos prestadores lo ofrecen a sus clientes de manera proactiva, en otros casos, hay que mandarlos para que te los firmes, esa es la solución en estos casos.
Un abrazo y gracias por comentar
Feliz 2016!!
Hola Miguel,
aunque no soy experto en temas legales intentaré comentarte sobre tus dudas. Aunque te recomiendo que nos dejes un ticket para que nuestros abogados puedan responder.
El punto 11.1. creo que es otro tema. Imagina que tu subes una lista de suscriptores a Mailrelay, una lista que tienes en tu ordenador.
Nosotros no podemos hacernos responsables de que esa lista la hayas generado de forma adecuada, dado que no lo sabemos. Si esa lista la has obtenido de forma fraudulenta, y esos contactos interponen una demanda, Mailrelay no se puede hacer cargo, porque esa lista no la hemos generado nosotros, por lo que eres tu el que debe hacerse cargo de la legalidad de dicha lista.
El punto 11.2.- indica que, aunque Mailrelay pone medidas para cuidar de los datos, tu también debes de hacerlo (copias de seguridad, bajas de quien lo solicite).
Imagina que descargas tu lista de contactos y la vendes sin el consentimiento de dichos contactos, esto sería algo que Mailrelay no puede evitar y serías tu quien vulnera la legislación.
En general podría resumir que aunque Mailrelay tenga medios, el cliente final siempre puede vulnerarlos, y debe ser responsable en esta medida de sus propios actos.
En cualquier caso son temas complejos, que te recomiendo tratar con nuestro equipo legal, porque yo puedo equivocarme 🙂
Bien respondido Jose, sin duda, el responsable del fichero debe velar por cumplir la LOPD en primer lugar y asegurarse de quienes tengan acceso a esos datos también la cumplen, pura coherencia y sentido común.
Lo que comentas debería ser parte del apartado de «exoneración de responsabilidades». Ciertamente, MailRelay no puede responsabilizarse del incumplimiento del responsable del fichero.
Un abrazo Jose
Gracias a ambos por contestar amablemente.
Ahora lo entiendo mejor, pero creo que Mailrelay debería redactar algo mejor los términos de su contrato para que quede claro especialmente en el 11.2:
1.2.- EL CLIENTE se compromete a adoptar las medidas de seguridad necesarias para la protección de los datos personales exigidos por la LOPD y LSSI, y sus reglamentos de desarrollo encargándose con la debida autorización de estas empresas para la protección de estos datos, eximiendo a CPC de toda responsabilidad»
Creo que es una redacción que da a entender que CPC no tiene ninguna responsabilidad en nada ( utiliza la expresión «eximiendo a CPC de TODA responsabilidad), y eso crea desconfianza.
Hola Marina, muchisimas gracias, estuve consultando con un amigo abogado pero seguía teniendo dudas y contigo se me han disipado. Nosotros gestionamos unas seis cuentas ahora mismo en mailchimp, y veo que la mejor opción es migrar. De las alternativas que nos propones sería tan fantástico que además nos contases que pros y contras tiene cada una….igual es pedir mucho muchísimo eh? pero ….sería tan maravilloso que alguien nos guiara 🙂
Un beso
Hola Natalia, me alegra muchísimo el poder aportarte claridad sobre el tema. Has hecho una buena sugerencia para un próximo post, aunque técnicamente no soy una experta, solo puedo valorar aspectos legales y de cumplimiento normativo. Justamente hoy estaba leyendo un post de un colaborador que explica divinamente:
http://www.vcgs.net/blog/?utm_campaign=articulos-de-el-blog-de-victor-campuzano-20160121&utm_medium=email&utm_source=acumbamail
Muchas gracias por pasarte por aquí!
Un fuerte abrazo
Hola Marina! Un gran post, pero quería hacerte una pregunta acerca de Mailchimp y Privacy Shield.
Justo hace un par de días configuré Mailchimp (he tenido en cuenta respetar la parte legal de mi información, notificación, modificación, baja…) aunque me falta dar de alta el fichero en la AGPD. Me decanté por Mailchimp por diseño y funcionalidad, encaja muy bien con mi proyecto y lo que necesito.
Mi pregunta es, ¿Me recomiendas seguir con Mailchimp y regularizarlo con la última de tus opciones?
Por otro lado, ¿sigue siendo necesaria esa regularización a pesar de que en breve tengo entendido se pondrá en marcha Privacy Shield?
Y disculpa, me surgió una última duda ahora mismo. He visto que algunas empresas en la información de dirección física, que aparece en los mails que envían, no la ponen al completo (ej: Murcia, 30007, España). Para mi caso, blogger, sin oficina, mi domicilio particular sería mi dirección física, ¿me recomiendas mostrar este dato (personal) al completo o con el ejemplo anterior puede ser suficiente? Siempre indico además un mail de contacto.
Has sido un descubrimiento necesario para mi. Gracias por tu valiosa información, seguiré tus noticias por Feedly 🙂
Saludos!
Hola Rául, bienvenido y gracias por permitirme echarte un cable que es lo que mas me gusta de mi trabajo.
Respecto a la regularización, lo de Privacy Shield de momento es solo un proyecto y por tanto, a efectos legales, para poder utilizar Mail Chimp, es necesario que regularices esta situación en la AGPD, además es algo super sencillo, solo debes declarar la transferencia en el apartado 10 y acogerte a una de las excepciones que prevé el articulo 34, esto es, obtener el consentimiento de los usuarios con la transferencia por tanto, solo basta notificar y añadir una cláusula informativa en todos tus boletines y en tu política de privacidad.
El domicilio siempre hay que indicarlo en los textos legales de tu web dado que es requisito obligatorio identificar a los responsables y ofrecer una dirección completa a efectos de notificación, entiendo tus reservas porque el derecho a la transparencia que tienen tus usuarios se contrapone con tu propio derecho a la intimidad, pero en este caso, prevalece el derecho del usuario y hemos de entender que en Internet, cuando gestionamos datos de otros, hemos de ser absolutamente transparentes y no nos podemos permitir estar encapuchados.
Espero haberte ayudado Raúl, ya me contarás si te ha sido útil mi parrafada 😉
Muchas gracias Marina por tu respuesta tan rápida! 🙂
La verdad es que es un alivio poder seguir usando mailchimp por ahora. Seguiré los pasos que me recomiendas.
Sí, da un poco de reparo mostrar tu información personal, pero así lo haré.
Te cuento pronto mi experiencia con el fichero de la AGPD 🙂
Muchas gracias de nuevo por ayudarme!
Hola de nuevo Marina! Ha sido muy sencillo el registro del fichero, muchas gracias.
Con informar a los usuarios que los datos serán tratados por Mailchimp (servidores extranjeros, etc..) en mi página de política de privacidad del blog es suficiente? O me recomiendas que también lo indique justo antes de hacer la doble confirmación (por ejemplo) del registro en Mailchimp?
Gracias por toda tu ayuda y que tengas un gran día 🙂
Hola Raúl, me alegro que hayas conseguido el registro, en cuanto a la información, para acreditar el consentimiento debes asegurarte de que los usuarios han leído la información, por tanto, indicarlo solo en la política de privacidad no es suficiente, debes informarlo, como te indiqué antes, en todos los boletines como un pié de boletín y no solo informar que trabajas con Mail Chimp, debes informar de la transferencia internacional de sus datos que supone el gestionar sus datos mediante esa plataforma, la cláusula informativa debe ser clara y completa y es parte de los servicios que presto a mis clientes cuando se realiza un proceso de adecuación completa de un blog a LOPD.
Has dado un primer paso importante, pero no es solo el principio, te recomiendo que consideres todos los requisitos legales exigidos para adecuar un blog: https://marinabrocca.com/blog/adecuacion-legal-web/adapta-tu-pagina-web-a-la-lopd/
Un abrazo y suerte!
Ahora sí, ya está incluida la información de la transferencia de datos a EEUU en el autoresponder de bienvenida y en cada plantilla del boletín con enlace a más información sobre sus derechos ARCO y LOPD en la política de privacidad del blog.
También envié por correo postal firmado el pdf a la AGPD.
Espero que así esté todo bien 🙂
Me has sido de grandísima ayuda Marina. Te lo agradezco mucho. Un abrazo!
Hola Marina excelente artículo.
Tengo una duda. Yo tengo un blog donde tengo la página de «Contacto» En esta página simplemente les pido el nombre y el correo electrónico. ¿Con esto debo utilizar un hosting europeo? o ¿con estos dos datos que requiero puedo utilizar un hosting americano?
La duda que tengo es con los datos de las personas que me contactan por la página «Contacto», ya que los de mi lista de suscriptores la tengo en un proveedor europeo.
Hola Yanire, gracias por pasarte por aquí. Aunque el tratamiento sea mínimo en cuento al hosting, siempre es recomendable que trabajes con un hosting europeo si los datos que recabas en tu formulario de contacto son de personas Españolas o europeas. Mi recomendación es que cambies a un hosting europeo y te quites de problemas.
Un abrazo
Muchas gracias Marina.
¿Me podrías recomendar un hosting europeo? Con el que estoy trabajando actualmente estoy teniendo bastantes problemas.
Me encanta tu blog. Estoy aprendiendo muchas cosas de LOPD que desconocía.
Un abrazo!
Hola Marina, bueno veo que el problema espara las personas que vicven en Europa. Yo vivo en Ecuador y quiero consultarte que me recomiendas mailrelay o mailchimp. Gracia spor tu ayuda
Hola David
Yo no puedo indicarte que plataforma es la más indicada porque no solo analizo el aspecto legal y como bien indicas, esta regulación solo afecta a los países europeos. A Mail Relay los conozco un poco mejor porque colaboro habitualmente con ellos y sin duda, son una gran elección desde el punto de vista empresa y una indiscutible profesionalidad.
Un fuerte abrazo