“La Agencia Española de Protección de Datos (AEPD) multará a aquellas empresas que estén utilizando Dropbox o Mailchimp”. Este mensaje se ha oído con frecuencia durante los últimos meses. Pero, ¿qué hay detrás de esta afirmación? ¿Puedo seguir usando Mailchimp para comunicarme por email con mi red de contactos?

[ACTUALIZACIÓN, a 29/10/2017]: si has accedido a este artículo es porque, alrededor de Mailchimp, se genera mucha información y opinión en Internet y buscas respuestas. Nuestro primer consejo sigue siendo, antes de poner patas arriba tu empresa, procedimientos y modo de trabajar, es que consultes a una consultora experta en el tratamiento de datos y las obligaciones que, como pyme o profesional tienes, desde el momento en el que guardas información personal de los contactos de tu empresa y haces uso para comunicarles tu actividad, las noticias relevantes del sector, les envías promociones o, simplemente, felicitas las fiestas.

Vaya por delante que nuestra agencia, BcomeDigital, no se dedica a la tramitación de los ficheros para el cumplimiento de la L.O.P.D. Pero, como pyme, hemos pasado por este proceso. Y nos aplicamos el cuento de contar con profesionales especializadas que nos indican que, tras el acuerdo Privacy Shield de este año, el procedimiento ha cambiado con la A.E.P.D.

Privacy Shield es un listado formado por las empresas estadounidenses que cumplen los estándares de seguridad exigidos por la U.E. (es como una certificación) y la empresa de Mailchimp (The Rocket Science Group LLC d/b/a MailChimp) sí que los cumple. Puedes consultar la lista de empresas con un nivel de seguridad en el siguiente link.

Con Mailchimp ha habido dudas sobre si cumple los estándares de seguridad ya que el contrato que se firma con Mailchimp es en inglés, que si no contiene firma alguna….etc. Pero, por ahora, no necesitas una autorización expresa de la dirección de la A.E.P.D. aunque sí notificar que haces una transferencia internacional de datos.

A partir de mayo de 2018 se prevé que entre en vigor la normativa europea pero, mientras tanto, tenemos que aplicar la española. Así que, a modo de resumen:

  • Puedes seguir utilizando Mailchimp.
  • Comunica a la AEPD que realizas una transferencia internacional de datos.

Eskerrik asko Janire Eguskiza – LaborALL Consultoría por aclararnos las dudas.


 

En este artículo, vamos a compartir nuestra reflexión y los pasos que hemos seguido para trabajar de forma legal y asegurar los datos personales de nuestra comunidad de suscriptores.

Partimos de la base que, si estás leyendo este artículo con interés, es porque has declarado, en algún momento, a la AEPD, los datos personales que manejas de clientes, proveedores, contactos profesionales,…

¿Qué ha ocurrido de noviembre hasta la fecha?

  • En octubre, el Tribunal de Justicia de la Unión Europea (TJUE) hizo pública una sentencia donde indicaba que las transferencias desde la Unión Europea a EEUU no pueden seguir realizándose bajo la base legal de la Decisión de Puerto Seguro (Safe Harbour).
  • A principios de diciembre, un periódico digital publica la siguiente noticia: Ultimátum de la AEPD a empresas españolas: prohibido usar Dropbox o Google Apps.
  • Este mensaje alcanza gran repercusión y, la propia AEPD, publica una nota aclaratoria donde explica que no impide el uso de estas herramientas pero sí informa a las empresas que estén utilizándolas de la necesidad de requerir a su proveedor de servicios que le ofrezca una respuesta adaptada a la sentencia del TJUE.
  • Otro punto de vista complementario es la reflexión de Enrique Dans en este artículo (que recomendamos leer)
  • En el caso concreto de Mailchimp, esta compañía ha movido ficha y pone a nuestra disposición la posibilidad de firmar un contrato de servicios entre el Responsable del Tratamiento del Fichero (nosotr@s) y la naturaleza de la cesión de datos que se realiza.

Con toda la información sobre la mesa, ¿qué pasos hemos realizado en BcomeDigital?:

  1. Hemos completado el formulario de Mailchimp y recibido, por correo electrónico, la versión firmada por parte de la compañía.
  2. En la página de la AEPD, como hicimos en su día para dar de alta los ficheros de datos de nuestra empresa, hemos realizado una modificación al fichero de suscriptores. Para avanzar en este proceso, es importante tener a mano el documento que, en su día, te envió la AEPD con el código de inscripción de cada fichero (en nuestro caso, clientes y suscriptores).
  3. Una vez impreso el justificante de la modificación (un fichero PDF que se llama acuse de recibo NOTA), no olvidarse de firmar el documento. En nuestro caso utilizamos la opción de comunicación postal sin certificado. Con este justificante, hemos incluido una copia del contrato con Mailchimp y enviado por correo certificado con acuse de recibo a la sede de la AEPD.

Tiempo invertido = 15 minutos.

Y estamos a la espera de la respuesta de la AEPD. En función de su respuesta, así procederemos:

  • Si nos confirman que podemos trabajar sin problemas, seguiremos con Mailchimp. A día de hoy, nos parece la herramienta más completa para realizar eMail Marketing.
  • Si nos indican que no podemos seguir con este proveedor de servicios, ahondaremos en otras soluciones como Acumbamail o MailRelay, siendo conscientes que son herramientas menos avanzadas a la versión americana pero, por contra, lo servidores de datos están en Europa.

En ningún caso, aconsejamos comenzar migrando a otro tipo de herramientas de eMail Marketing y tirando a la basura el trabajo ya realizado con Mailchimp. No, hasta no obtener la respuesta oficial de la AEPD a cada situación concreta.

Seguiremos informando y os contaremos cómo avanzamos en este punto.

puedo-usar-mailchimp

 

Pin It on Pinterest