«La Agencia Española de Protección de Datos (AEPD) multará a aquellas empresas que estén utilizando Dropbox o Mailchimp». Este mensaje se ha oído con frecuencia durante los últimos meses. Pero, ¿qué hay detrás de esta afirmación? ¿Puedo seguir usando Mailchimp para comunicarme por email con mi red de contactos?
[ACTUALIZACIÓN, a 29/10/2017]: si has accedido a este artículo es porque, alrededor de Mailchimp, se genera mucha información y opinión en Internet y buscas respuestas. Nuestro primer consejo sigue siendo, antes de poner patas arriba tu empresa, procedimientos y modo de trabajar, es que consultes a una consultora experta en el tratamiento de datos y las obligaciones que, como pyme o profesional tienes, desde el momento en el que guardas información personal de los contactos de tu empresa y haces uso para comunicarles tu actividad, las noticias relevantes del sector, les envías promociones o, simplemente, felicitas las fiestas.
Vaya por delante que nuestra agencia, BcomeDigital, no se dedica a la tramitación de los ficheros para el cumplimiento de la L.O.P.D. Pero, como pyme, hemos pasado por este proceso. Y nos aplicamos el cuento de contar con profesionales especializadas que nos indican que, tras el acuerdo Privacy Shield de este año, el procedimiento ha cambiado con la A.E.P.D.
Privacy Shield es un listado formado por las empresas estadounidenses que cumplen los estándares de seguridad exigidos por la U.E. (es como una certificación) y la empresa de Mailchimp (The Rocket Science Group LLC d/b/a MailChimp) sí que los cumple. Puedes consultar la lista de empresas con un nivel de seguridad en el siguiente link.
Con Mailchimp ha habido dudas sobre si cumple los estándares de seguridad ya que el contrato que se firma con Mailchimp es en inglés, que si no contiene firma alguna….etc. Pero, por ahora, no necesitas una autorización expresa de la dirección de la A.E.P.D. aunque sí notificar que haces una transferencia internacional de datos.
A partir de mayo de 2018 se prevé que entre en vigor la normativa europea pero, mientras tanto, tenemos que aplicar la española. Así que, a modo de resumen:
- Puedes seguir utilizando Mailchimp.
- Comunica a la AEPD que realizas una transferencia internacional de datos.
Eskerrik asko Janire Eguskiza – LaborALL Consultoría por aclararnos las dudas.
En este artículo, vamos a compartir nuestra reflexión y los pasos que hemos seguido para trabajar de forma legal y asegurar los datos personales de nuestra comunidad de suscriptores.
Partimos de la base que, si estás leyendo este artículo con interés, es porque has declarado, en algún momento, a la AEPD, los datos personales que manejas de clientes, proveedores, contactos profesionales,…
¿Qué ha ocurrido de noviembre hasta la fecha?
- En octubre, el Tribunal de Justicia de la Unión Europea (TJUE) hizo pública una sentencia donde indicaba que las transferencias desde la Unión Europea a EEUU no pueden seguir realizándose bajo la base legal de la Decisión de Puerto Seguro (Safe Harbour).
- A principios de diciembre, un periódico digital publica la siguiente noticia: Ultimátum de la AEPD a empresas españolas: prohibido usar Dropbox o Google Apps.
- Este mensaje alcanza gran repercusión y, la propia AEPD, publica una nota aclaratoria donde explica que no impide el uso de estas herramientas pero sí informa a las empresas que estén utilizándolas de la necesidad de requerir a su proveedor de servicios que le ofrezca una respuesta adaptada a la sentencia del TJUE.
- Otro punto de vista complementario es la reflexión de Enrique Dans en este artículo (que recomendamos leer)
- En el caso concreto de Mailchimp, esta compañía ha movido ficha y pone a nuestra disposición la posibilidad de firmar un contrato de servicios entre el Responsable del Tratamiento del Fichero (nosotr@s) y la naturaleza de la cesión de datos que se realiza.
Con toda la información sobre la mesa, ¿qué pasos hemos realizado en BcomeDigital?:
- Hemos completado el formulario de Mailchimp y recibido, por correo electrónico, la versión firmada por parte de la compañía.
- En la página de la AEPD, como hicimos en su día para dar de alta los ficheros de datos de nuestra empresa, hemos realizado una modificación al fichero de suscriptores. Para avanzar en este proceso, es importante tener a mano el documento que, en su día, te envió la AEPD con el código de inscripción de cada fichero (en nuestro caso, clientes y suscriptores).
- Una vez impreso el justificante de la modificación (un fichero PDF que se llama acuse de recibo NOTA), no olvidarse de firmar el documento. En nuestro caso utilizamos la opción de comunicación postal sin certificado. Con este justificante, hemos incluido una copia del contrato con Mailchimp y enviado por correo certificado con acuse de recibo a la sede de la AEPD.
Tiempo invertido = 15 minutos.
Y estamos a la espera de la respuesta de la AEPD. En función de su respuesta, así procederemos:
- Si nos confirman que podemos trabajar sin problemas, seguiremos con Mailchimp. A día de hoy, nos parece la herramienta más completa para realizar eMail Marketing.
- Si nos indican que no podemos seguir con este proveedor de servicios, ahondaremos en otras soluciones como Acumbamail o MailRelay, siendo conscientes que son herramientas menos avanzadas a la versión americana pero, por contra, lo servidores de datos están en Europa.
En ningún caso, aconsejamos comenzar migrando a otro tipo de herramientas de eMail Marketing y tirando a la basura el trabajo ya realizado con Mailchimp. No, hasta no obtener la respuesta oficial de la AEPD a cada situación concreta.
Seguiremos informando y os contaremos cómo avanzamos en este punto.
Hola Bea, gracias por tu artículo. Sí, ciertamente todos estamos un poco alarmados con lo del “Safe Harbour” y recientemente he asistido a una Jornada de Enpresa Digitala en la que expresamente se citaba como recomendación dejar “MailChimp” para cumplir con la legislación.
Yo también he investigado como opción MailRelay y otras opciones desarrolladas y alojadas en servidores nacionales o de la UE. Coincido en tus apreciaciones respecto a la bondad y funcionalidad de MailRelay. Le he visto una cierta complejidad respecto la modificación de los DNS para evitar las listas de spam que pueden retraer a algunos clientes no avanzados / usuarios finales, cosa que no ocurría con MailChimp.
Pero debo de corregir la información desde su base, ya que el viernes tuve la oportunidad de asistir a una jornada de la Agencia Vasca de Protección de Datos en la que la nueva Directora de la Agencia Vasca de Protección de Datos, ante una pregunta directa mía a través de Twitter y preguntada en directo por el Presidente de la Asociación Internet&Euskadi, sobre qué postura debíamos de adoptar ante plataformas en la nube como “Dropbox, GoogleDrive o Mailchimp” y la respuesta fue literalmente: “de momento no hacer nada, no existe ninguna denuncia ni intención de realizar sanción alguna a las empresas que usan dichos servicios y se están estudiando diferentes adaptaciones y acuerdos para no tener que llegar a ello”.
Dado que la jornada no fue grabada, sí lo puedes encontrar en la conversación de Twitter de @vllona, @ieuskadi que realizamos con el hashtag #PremiosAVPD o consultando directamente a la AVPD que era la organizadora y estaban presentes en la respuesta.
En todo caso, su postura oficial la puedes leer en su web: https://www.agpd.es/portalwebAGPD/canalresponsable/transferencias_internacionales/AplicacionSentenciaSH-ides-idphp.php
y el resumen final dice “La Agencia, junto con las Autoridades europeas de protección de datos, apuesta por encontrar soluciones sostenibles para aplicar la sentencia del TJUE e insiste en el llamamiento realizado a las Instituciones de la UE, los Estados miembros y las empresas para encontrar un camino que permita el cumplimiento de la sentencia del Tribunal.”
Por lo tanto, aún es pronto para tomar decisiones que pueden suponer un sobrecoste de aquellos que tengan ya implantados algunos servicios y mi recomendación es esperar hasta que se aclare la normativa o se indique claramente los procedimientos a seguir (si vamos al mismo paso y velocidad que con la facturación electrónica o los certificados digitales, podemos esperar sentados). Un saludo. Venan.
Hola Venan, eskerrik asko por tu comentario. Se agradece. En el caso de mi empresa (hablo como micropyme, empresa privada y no agente público), mi obligación de declaración de los ficheros es con la AEPD (Agencia Española de Protección de Datos). En el comunicado oficial de ésta, a raíz de la noticia en la prensa digital, publicada a principios de diciembre (es el comunicado al que tú te refieres y que también, en este artículo se citaba) indicaban:
«La Agencia en ningún caso ha requerido a los responsables para que dejen de utilizar determinados servicios de almacenamiento en la nube. Las acciones de la Agencia no están orientadas a la prohibición de utilizar herramientas concretas sino a informar a los responsables para que requieran a su proveedor de servicios, si es necesario, que les ofrezca una respuesta adaptada a la sentencia del TJUE.»
Y, en esa línea, nos hemos movido en BcomeDigital. En el caso concreto de Mailchimp, esta herramienta pone a disposición de quien lo necesite, la opción de firmar un contrato con ellos. Así lo hemos hecho. Y, como en el artículo indicaba, los pasos (sencillos, simples, que cualquier persona puede hacer) nos han llevado 15 minutos en total.
El sobre-coste a las arcas de mi empresa ha sido el envío de la documentación por correo postal. Tengo que confesar que lo que más tiempo me llevó fue encontrar el lugar concreto donde enviar la modificación del fichero que ya registré en su día. De ahí que compartiera el link directo, para evitar sufrimientos varios.
Este artículo va dirigido, en especial, a mis clientes. A estas alturas, quien más quien menos ha oído que algo pasa con la LOPD y Mailchimp. ¿Qué ocurre? Algunas empresas que se dedican a la gestión de la LOPD, colegas de nuestro sector y, lo que es más grave, personas referentes en los entornos digitales, han lanzado mensajes tipo: no se puede utilizar Mailchimp, la AEPD ha comenzado a multar con cantidades que se salen de la facturación anual de una pyme,…Total, usar MailRelay y Mailchimp es lo mismo. Y no es así. Tenemos una tarea pendiente, aprender a filtrar los contenidos digitales que leemos. Pero…eso es otro tema.
La postura que recojo en este artículo es la misma que veo tú defiendes: no comenzar a poner patas arriba nuestra empresa, tirar a la basura las inversiones realizadas, y comenzar a implantar otro tipo de soluciones con el coste (económico, tiempo, curvas de aprendizaje,…) hasta no tener una respuesta concreta y directa de la AEPD. A cada caso concreto, a la realidad de cada empresa.
Consultado con empresas cercanas que gestionan la LOPD para otras compañías y a la pregunta de algún cliente ¿y qué pasa si me multa la AEPD?, también aclarar que la AEPD antes de multar avisa y da un plazo de 30 días para tomar medidas. Quiero decir con todo ésto que, para la tranquilidad de las personas que no se mueven en los entornos digitales, la AEPD no va «poniendo multas» sin avisar.
En mi caso, la comunicación a la AEPD está hecha. Si la AEPD se pronuncia, lo compartiré, sea en una dirección u otra. Y, en ese momento, actualizaré los ficheros de seguridad y el resto de cuestiones que implica estar a bien con la AEPD.
Saludos y muy contenta de saber que te tengo entre l@s lectores del blog. Bea
Hola,
Desearía conocer si finalmente la AEPD ha validado el contrato de servicios de mailchimp, dado que he leído en diferentes blogs que se estaban denegando.
Gracias
¡Hola! en nuestro caso, sí que nos han validado el uso de la herramienta. Unos meses después de enviar la documentación a la AEPD y gestionar online la modificación del fichero correspondiente a las suscripciones, nos llegó una carta de la AEPD confirmándonos su uso. Y, hasta la fecha, no hemos tenido ninguna comunicación más. Nuestro consejo es no dejar de utilizar la herramienta. Nos consta que desde Europa están revisando de nuevo los protocolos de protección de datos. Hasta que no se pronuncien con nuevos cambios, en BcomeDigital, seguimos utilizando Mailchimp. Esperamos haber aclarado tus dudas, buen día. BcomeDigital
Buenos días!
Me podríais indicar dónde me puedo descargar el contrato a firmar con Mailchimp del que hablais?
Por lo que entiendo, lo que habeis hecho es firmar ese contrato y enviárselo a la AGPD, además de modificar el fichero que ya teníais inscrito… La modificación conlleva que ahora ese fichero tiene una «transferencia internacional de datos», cierto?
Gracias por vuestra ayuda. Sara MS
Hola Sara, muchas gracias por el interés mostrado. Efectivamente, hicimos una modificación del fichero ante la AEPD (no sé si, en tu caso, tenéis alguna dependencia con la Agencia Gallega. En Euskadi, la Agencia Vasca no aplica para las empresas, es para organismos públicos) El link para la firma del contrato con Mailchimp es este: http://mailchimp.com/legal/forms/data-processing-agreement/
Seguimos en contacto, buen día, Beatriz López BcomeDigital