«La Agencia Española de Protección de Datos (AEPD) multará a aquellas empresas que estén utilizando Dropbox o Mailchimp». Este mensaje se ha oído con frecuencia durante los últimos meses. Pero, ¿qué hay detrás de esta afirmación? ¿Puedo seguir usando Mailchimp para comunicarme por email con mi red de contactos?

ACTUALIZADO [26/06/2020]

Después de mucho tiempo, hemos considerado que venía bien hacer algunas actualizaciones de este artículo tras la puesta en marcha de la GDPR en 2018. En la página de preguntas de Mailchimp puedes comprobar las acciones que llevaron a cabo para adaptarse a esta normativa europea y las acciones que debes llevar a cabo para tener todo en orden.

A grosso modo, estas son las acciones que debes realizar:

  • Activar el doble opt-in.
  • Tu información de política de privacidad es independiente de la de Mailchimp. Por lo que las personas suscritas deben estar informadas de ambas y no puedes modificar la de Mailchimp.
  • Debes identificar a Mailchimp como encargado de tratamiento de datos en tus textos legales.

¿Tienes alguna duda al respecto? Consulta con tu asesoría. Sabrán responderte de la mejor manera teniendo en cuenta las condiciones de tu negocio.

ACTUALIZADO [29/10/2017]

Si has accedido a este artículo es porque alrededor de Mailchimp se genera mucha información y opinión en Internet,  y posiblemente buscas respuestas. Nuestro primer consejo sigue siendo que consultes a una consultora experta antes de poner patas arriba tu empresa, procedimientos y modo de trabajar. A continuación, te explicamos el tratamiento de datos y las obligaciones que, como pyme o profesional, tienes desde el momento en el que guardas información personal de los contactos de tu empresa y haces uso para comunicarles tu actividad, las noticias relevantes del sector, les envías promociones o, simplemente, felicitas las fiestas.

Vaya por delante que nuestra agencia, BcomeDigital, no se dedica a la tramitación de los ficheros para el cumplimiento de la L.O.P.D. Pero, como pyme, hemos pasado por este proceso. Y nos aplicamos el cuento de contar con profesionales especializadas que nos indican que, tras el acuerdo Privacy Shield de este año, el procedimiento ha cambiado con la A.E.P.D.

Privacy Shield es un listado formado por las empresas estadounidenses que cumplen los estándares de seguridad exigidos por la U.E. (es como una certificación) y la empresa de Mailchimp (The Rocket Science Group LLC d/b/a MailChimp) sí que los cumple. Puedes consultar la lista de empresas con un nivel de seguridad en el siguiente link.

Con Mailchimp ha habido dudas sobre si cumple los estándares de seguridad ya que el contrato que se firma con Mailchimp es en inglés, que si no contiene firma alguna….etc. Pero, por ahora, no necesitas una autorización expresa de la dirección de la A.E.P.D. aunque sí notificar que haces una transferencia internacional de datos.

Desde mayo de 2018, entró en vigor la normativa europea y, de momento -a junio de 2020-, podemos mantener que:

Eskerrik asko Janire Eguskiza – LaborALL Consultoría por aclararnos las dudas.

[Información actualizada a 26 de junio de 2020]


En este artículo, vamos a compartir nuestra reflexión y los pasos que hemos seguido para trabajar de forma legal y asegurar los datos personales de nuestra comunidad de suscriptores.

Partimos de la base que, si estás leyendo este artículo con interés, es porque has declarado, en algún momento, a la AEPD, los datos personales que manejas de clientes, proveedores, contactos profesionales,…

¿Qué ha ocurrido con Privacy Shield y Mailchimp desde noviembre de 2015?

    • En octubre, el Tribunal de Justicia de la Unión Europea (TJUE) hizo pública una sentencia donde indicaba que las transferencias desde la Unión Europea a EEUU no pueden seguir realizándose bajo la base legal de la Decisión de Puerto Seguro (Safe Harbour).
    • A principios de diciembre, un periódico digital publica la siguiente noticia: Ultimátum de la AEPD a empresas españolas: prohibido usar Dropbox o Google Apps.
    • Este mensaje alcanza gran repercusión y, la propia AEPD, publica una nota aclaratoria donde explica que no impide el uso de estas herramientas pero sí informa a las empresas que estén utilizándolas de la necesidad de requerir a su proveedor de servicios que le ofrezca una respuesta adaptada a la sentencia del TJUE.
    • Otro punto de vista complementario es la reflexión de Enrique Dans en este artículo (que recomendamos leer)
    • En el caso concreto de Mailchimp, esta compañía ha movido ficha y pone a nuestra disposición la posibilidad de firmar un contrato de servicios entre el Responsable del Tratamiento del Fichero (nosotr@s) y la naturaleza de la cesión de datos que se realiza.

Con toda la información sobre la mesa, ¿qué pasos hemos realizado en BcomeDigital?:

  1. Hemos completado el formulario de Mailchimp y recibido, por correo electrónico, la versión firmada por parte de la compañía.
  2. En la página de la AEPD, como hicimos en su día para dar de alta los ficheros de datos de nuestra empresa, hemos realizado una modificación al fichero de suscriptores. Para avanzar en este proceso, es importante tener a mano el documento que, en su día, te envió la AEPD con el código de inscripción de cada fichero (en nuestro caso, clientes y suscriptores).
  3. Una vez impreso el justificante de la modificación (un fichero PDF que se llama acuse de recibo NOTA), no olvidarse de firmar el documento. En nuestro caso utilizamos la opción de comunicación postal sin certificado. Con este justificante, hemos incluido una copia del contrato con Mailchimp y enviado por correo certificado con acuse de recibo a la sede de la AEPD.

Tiempo invertido = 15 minutos.

Y estamos a la espera de la respuesta de la AEPD. En función de su respuesta, así procederemos:

    • Si nos confirman que podemos trabajar sin problemas, seguiremos con Mailchimp. A día de hoy, nos parece la herramienta más completa para realizar eMail Marketing.
    • Si nos indican que no podemos seguir con este proveedor de servicios, ahondaremos en otras soluciones como Acumbamail o MailRelay, siendo conscientes que son herramientas menos avanzadas a la versión americana pero, por contra, lo servidores de datos están en Europa.

En ningún caso, aconsejamos comenzar migrando a otro tipo de herramientas de eMail Marketing y tirando a la basura el trabajo ya realizado con Mailchimp. No, hasta no obtener la respuesta oficial de la AEPD a cada situación concreta.

Seguiremos informando y os contaremos cómo avanzamos en este punto.

 

Pin It on Pinterest