Protección de datos personales

MailChimp y el RGPD – Te explicamos cómo transferirle datos

MailChimp mc_freddie_color

Si eres alguien que desarrolla su actividad en Europa, el uso de los servicios de empresas de marketing online como Mailchimp, Mailrelay, Mailjet, Sendinblue o Getresponse, por nombrar algunas, lleva aparejada una serie de obligaciones que, si son desatendidas, pueden conducirte a sanciones u otro tipo de responsabilidades.  

Para hacer este artículo he seleccionado a MailChimp por ser la plataforma más popular para hacer campañas y enviar publicidad de forma automatizada, pero lo que verás es, salvando algunas diferencias, aplicable igualmente al resto de empresas del género.

 

1. ¿Qué es MailChimp?

MailChimp el producto y nombre comercial de la empresa norteamericana de mercadotecnia directa the Rocket Science Group LLC. Esta compañía te proporciona herramientas para automatizar la gestión de las campañas de publicidad y enviar correos a tus listas de distribución.

 

2. ¿Estoy cediendo datos personales a una empresa de marketing?

Es lo primero que debes preguntarte y la respuesta es un rotundo sí. El RGPD dice que un dato personal es “toda información sobre una persona física identificada o identificable”. Puedes encontrar más información sobre qué son los datos personales aquí.

Para que la campaña de publicidad funcione, debes transferir a MailChimp la dirección de correo electrónico de tus suscriptores, que es un dato que te permite identificarlos y, por lo tanto, un dato personal.

Además, todos los datos que solicites sobre el suscriptor junto al correo electrónico también serán datos personales, siempre y cuando se refieran a él, pues la persona estará identificada, como mínimo, por su correo electrónico.

 

Campos del formulario de suscripción

A la hora de diseñar un formulario con Mailchimp, debes asegurarte que no pones más campos que los que te hagan falta para recoger la información que sea estrictamente necesaria para cumplir con la finalidad del tratamiento (probablemente, enviar publicidad), pero nada más; es el principio de minimización, uno de los 6 pilares del RGPD (artículo 5.1.c RGPD).

Otro principio que debes tener en mente es el de licitud del tratamiento (artículo 5.1.a), que significa que para poder tratar los datos deberás justificarlo en una de las causas del artículo 6. Para marketing directo, lo normal es que sea el consentimiento o el interés legítimo (artículos 6.1.a) y f) y considerando 47 RGPD).

Lo anterior es especialmente relevante en esos casos en que bases el tratamiento en el consentimiento, pues el consentimiento solo es válido cuando es otorgado mediante una “manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen” (artículo 4.11 RGPD).

Sobre el consentimiento válido en el RGPD existe una magnífica guía del Grupo de Trabajo del Artículo 29, que puedes consultar aquí.

 

3. ¿Es una transferencia internacional de datos del RGPD?

El considerando 101 del RGPD se refiere a ellas definiéndolas como un “flujo transfronterizo de datos personales a, y desde, países no pertenecientes a la UE y organizaciones internacionales”. En consecuencia, si recoges correos electrónicos de personas físicas que se encuentren en el Espacio Económico Europeo y los cedes a MailChimp, que está establecida en el Estado de Georgia, en EEUU, estarás haciendo una transferencia internacional de datos.

 

¿Cómo puedo ceder los datos fuera de la UE?

Puedes encontrar información acerca de los distintos mecanismos que existen para comunicar datos a un país tercero a la Unión Europea en esta entrada, que te recomiendo visitar para tener una visión más amplia de las distintas posibilidades que hay.

Como explico en el citado artículo, en determinados casos existen resoluciones de la Comisión Europea que declaran que un determinado país ofrece un nivel de protección de datos adecuado.

Estados Unidos es uno de esos países y se permiten las transferencias internacionales a algunas compañías de este Estado en base a la decisión de adecuación Privacy Shield, que vino a ocupar el lugar de Safe Harbor en 2016.

La lista de compañías adheridas a Privacy Shield puede consultarse aquí. A día de hoy, MailChimp se encuentra certificada para todos esos datos que no sean de recursos humanos.

 

MailChimp Privacy Shield status

 

Como puedes ver en la imagen, la certificación se encuentra vigente hasta el 15 de diciembre de 2018, si bien MailChimp puede renovarla volviendo a acreditar los requisitos. La renovación de estas certificaciones es una cuestión importante, pues si la certificación expira ya no podrás basar la transferencia de datos en Privacy Shield.

 

4. ¿Es esta empresa de mailing un encargado del tratamiento?

Por lo general, sí. El RGPD define al encargado del tratamiento en el artículo 4.8) como “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”.

Esta circunstancia conlleva una serie de obligaciones tanto para el encargado como para ti, si eres el responsable del tratamiento. Las tuyas pueden listarse en: (i) elegir diligentemente al encargado; (ii) celebrar un contrato vinculante y por escrito (vale por medios electrónicos) con el contenido que establece el RGPD y (iii) supervisar la relación y la ejecución del contrato.

Según el RGPD debe existir una relación de colaboración entre el responsable y el encargado, debiendo el último asistir al primero tanto para hacer efectivo el ejercicio de los derechos de protección de datos por los interesados (los suscriptores), como en comunicar las brechas de seguridad de datos personales o proveer información sobre sus medidas de seguridad concernientes al tratamiento (considerando 81 y artículo 28 RGPD).

MailChimp creo que es una de esas pocas compañías que ha puesto su contrato de encargo a disposición de sus clientes en la página web.

Puedes encontrarlo en la cláusula 20.5 de los Términos de Uso. Se constituye como un adjunto a estos y completa la Política de Privacidad para los miembros que le transfieren datos desde la UE.

 

5. Política de Privacidad de MailChimp

La Política de Privacidad de MailChimp puede ser algo compleja de entender para hispanohablantes sin un buen dominio del inglés. Básicamente se divide en tres partes, en función de la categoría del interesado, es decir, de quien seas tú para ellos.

Si eres un contacto que has introducido tus datos en un formulario de suscripción, el tratamiento de tus datos que haga MailChimp viene explicado en la sección “3. Privacy for Contacts”.

Si eres un miembro, es decir alguien que utiliza la plataforma MailChimp para recoger datos de suscriptores y automatizar campañas de marketing, te interesará la sección “2. Privacy for Members”.

Finalmente, la sección “3. Privacy for visitors” es la que informa del tratamiento de los datos que hace MailChimp de los visitantes de la web.

 

6. Más deberes: transparencia, accountability …

En este artículo he tratado de explicarte las que son quizá las obligaciones más apremiantes a cumplir para poder transferir datos a la compañía norteamericana de forma legítima, pero esas no son, ni mucho menos, todas las obligaciones que debes cumplir para hacer un tratamiento de datos que cumpla con los principios del RGPD.

Por ejemplo, tienes deberes de transparencia con tus suscriptores y debes facilitarles los medios para ejercer sus derechos de protección de datos. Además, en función del tratamiento de datos que realices, deberás de hacer un registro de actividades del tratamiento, análisis de riesgos y evaluaciones de impacto.

 


Foto de la cabecera de MailChimp.

 

Un comentario en “MailChimp y el RGPD – Te explicamos cómo transferirle datos

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *