Cómo solucionar los problemas legales de seguir utilizando Mailchimp

Todo empezó leyendo este artículo “LOPD: cómo ser un blogger legal. ¿Puedo continuar utilizando Mailchimp?” sobre Mailchimp y LOPD en inteligenciaviajera  y a partir de ahí leer y leer artículos relacionados.

Tener un blog o una web legal  no es un tema para tomárselo a la ligera, máxime cuando las multas por no tenerlo van desde los 600€ hasta los 600.000€ . Lo más sensato es utilizar los servicios de un profesional en la materia,  que ayude a cumplir con todas las exigencias legales. Si prefieres utilizar la fórmula del DIY, en esto estupendo artículo de  Marina Brocca  explica los pasos a seguir para tener una web adecuada legalmente mediante un caso práctico y la adecuación legal a la web de bloggers 3.0.

Volviendo al tema de Mailchimp,

Mailchimp es una excelente alternativa para realizar campañas de email marketing, ya que  permite de una manera sencilla la creación de listas de correo, la elaboración de plantillas de correo y el envío de campañas  de email marketing.

Mailchimp es una empresa americana, y por tanto la UE (Unión Europea) y la AEPD (Asociación Española de Protección de Datos) la califican como un país con niveles de protección de datos NO adecuado, por lo que no aseguran el cumplimiento de las normativas referentes a la privacidad de datos exigidas por la UE y la AEPD.

Aun estando los datos alojados en EEUU, Mailchimp cumplía con el protocolo Puerto Seguro (Safe Harbour),  que básicamente era un acuerdo entre la UE  y EEUU por la que se establecían las diferentes leyes o normativas que garantizaban la privacidad de datos de los ciudadanos europeos. Toda empresa que estuviera dentro del listado Safe Habor garantizaba el cumplimiento de las políticas de protección de datos.

A finales del año pasado el Tribunal de Justicia de la Unión Europea (TJUE) hizo pública una sentencia  por la que  anulaba el protocolo Safe Habor como acuerdo regulador de la transferencia de datos desde la UE a EEUU y a partir de aquí el lío, ya que con la anulación del protocolo Safe Habor no solo el servicio de email marketing Mailchimp dejaba de cumplir con la legalidad, también otra multitud de servicios como los ofrecidos por Dropbox, Google, etc.

Como alternativa al protocolo Safe Harbor,  desde este mismo Julio 2016  la UE ha aprobado un nuevo marco legal que sustituye a Safe Harbor, Privacy Shield que implica un nuevo conjunto de normas que aseguran los requerimientos de protección de datos y privacidad exigidos por la UE, permitiendo así a las empresas americanas que se acojan a este nuevo protocolo cumplir con la normativa de la UE referente a la protección de datos.

Por el momento Mailchimp no cumple el protocolo Privacy Shield, por lo que ante la situación de ilegalidad de utilizar este servicio de email hay varias alternativas viables: cambiar de proveedor de servicios de email marketing por uno  que ofrezca los mismos servicios dentro de la UE,   obtener el consentimiento de los usuarios, ya que la LOPD permiten la transferencia internacional de datos si se obtiene el consentimiento de todos los usuarios a la transferencia y por último firmar un contrato con el proveedor de servicios y entregarlo en la AEPD  para su conformidad.

Cambiar de proveedor

La más segura, cambiar de proveedor de servicios de email marketing y sustituirlo por uno que tenga sus servidores dentro de la UE y por lo tanto cumpla con las exigencias de protección de datos de la AEPD, en este artículo ” Alternativa a MailChimp y Aweber ” hay un listado de proveedores alternativos.

Consentimiento de todos los usuarios

El artículo 34.e de la LOPD permite realizar transferencias internacionales de datos cuando el usuario haya dado su consentimiento inequívoco. Esto quiere decir que si todos los usuarios de nuestra web o listas de email nos da su consentimiento para la transferencia de sus datos a EEUU se soluciona el problema.

Pedir el consentimiento a todos los visitantes de muestra web o miembros de nuestra lista de email resulta una tarea prácticamente imposible, por lo que la propuesta de la AEPD es hacerlo de manera genérica e informativa, similar a la solución ofrecida para la política de cookies, es decir, hay que ofrecer la información de la transferencia internacional de datos en la web y formularios, si el usuario acepta explícitamente el formulario, o sigue navegando después de haberla leído,  acepta la transferencia de datos .

Ejemplos de aviso legal y política de privacidad: Marina Brocca – Política de Privacidad, Ana Mata – Politica de Privacidad.

Contrato con el proveedor

Mailchimp tiene un contrato que acepta la AEPD, Data Processing Agreement, para presentar a la AEPD para su validación. Este contrato se solicita a Mailchimp

¿Cuál es el problema?,  que la AEPD está desestimando las peticiones de este contrato por dos motivos: el contrato esta en inglés y la normativa española exige que cualquier documento presentado ante un órgano administrativo, esté convenientemente traducido y no se puede demostrar la identidad de una de las partes que firma el contrato, la de Mailchimp.

Por tanto y aunque parece que Mailchimp esta estudiando la posibilidad de una solución con un contrato que si tenga validez, a día de hoy no es una solución válida.

La correcta solución sería presentar a la AEPD un contrato cumplimentado acorde a legislación  como por ejemplo los contrato tipo que tanto la UE como  la AEPD:  Modelo contrato encargado subencargado – AEPDCláusulas contractuales tipo; Encargados del tratamiento para la autorización al tratamiento internacional de datos. Algo que a priori supongo bastante complicado de conseguir.

Conclusiones

La opción de cambiar de proveedor de email marketing parece la más segura, aunque si bien soluciona el problema del email marketing, seguimos con el problema de otros servicios de empresas ubicadas en EEUU.

Por lo que teniendo en cuenta lo que parece ser la posición  de la AEPD de facilitar soluciones que permita el cumplimiento de la sentencia del TJUE y la dificultad que supone con cumplir estrictamente con la LOPD en materia de transferencia internacional de datos, lo más que razonable parece ser seguir los siguientes pasos:

Informar a los usuarios de la transferencia internacional de datos, modificando el aviso legal y la política privacidad, de esta forma, si el usuario continúa navegando en nuestra web o se suscribe a la newsletter nos da su consentimiento.
Solicitar el contrato de servicios a Mailchimp, enviar la solicitud a la AEPD para su aprobación y cruzar los dedos.
Por último, esperar a que Mailchimp se acoja cuanto antes al nuevo protocolo Privacy Shield.

Más y mejor en …

LOPD: cómo ser un blogger legal. ¿Puedo continuar utilizando Mailchimp?

Legalidad de 0 a 100 para blogs – Guía completa + Caso práctico

¿Es legal usar Dropbox y Google Analytics en España? La postura de la AEPD y la LOPD

Nuevo acuerdo entre Europa y US para la transferencia de datos personales

Alternativa a MailChimp y AWeber

Entonces, ¿qué hacemos con Mailchimp ?

La solución que ofrece Mailchimp no es válida para la AEPD

La SEPD rechaza las soluciones ofrecidas por mailchimp

Cómo Ahorrar 600.000 € con tu blog

Suscríbete
Déjame tu email y te mantendré informado de las últimas novedades