Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) y las anulaciones de los acuerdos de Safe Harbor y Privacy Shield para las transferencias de datos entre la UE y EE. UU., el uso de la plataforma de email marketing, MailChimp, para realizar las comunicaciones comerciales con suscriptores no hace más que generar dudas sobre su legalidad. En este artículo trataremos de despejarlas explicando cómo afecta a MailChimp la Ley de Protección de Datos.
En este artículo hablamos de:
¿Qué es MailChimp?
Para aquellos que no estéis familiarizados con MailChimp, se trata de una plataforma con la que las empresas pueden automatizar sus campañas de email marketing de una manera bastante sencilla. Es decir, se emplea para realizar envíos masivos de emails a los clientes, suscriptores o toda aquella persona que haya dado su consentimiento a la empresa (mediante un formulario en la web) para recibir comunicaciones por correo electrónico.
Habitualmente, MailChimp se emplea para enviar avisos, información variada, campañas de descuentos, publicidad, newsletters, etc. Es una herramienta muy útil para el marketing digital, ya que facilita el envío de grandes volúmenes de emails.
Así que las empresas que emplean MailChimp en España deben facilitar las direcciones de correo electrónico de sus clientes, suscriptores y otros consumidores a esta plataforma, para poder llevar a cabo la automatización de los envíos.
Y, como ya sabrás si eres lector habitual del blog de Atico34, la dirección de correo electrónico se considera un dato personal, por lo que el uso de MailChimp está afectado por la Ley de Protección de Datos.
¿Cómo afecta a MailChimp el RGPD y la LOPDGDD?
Puesto que, como hemos dicho, la dirección de correo electrónico se considera un dato personal, a la hora de usar MailChimp debemos tener en consideración las obligaciones del RGPD y la LOPDGDD en cuanto al tratamiento de datos personales, pero especialmente en lo relativo a transferencias internacionales de datos a terceros países fuera de la UE, como es el caso de esta plataforma.
MailChimp es una empresa estadounidense que, además, tiene sus servidores en EE. UU., esto implica que cuando se recopilan datos personales de ciudadanos europeos, estos son transferidos a sus servidores en suelo estadounidense, algo que de acuerdo al RGPD no se puede hacer, salvo que existan las conocidas como cláusulas contractuales tipo (SCC) dentro de los contratos para el tratamiento de datos personales. Estas SCC deben haber sido examinadas y aprobadas por las autoridades de protección de datos competentes, que en España es la Agencia Española de Protección de Datos (AEPD).
MailChimp, con quien el responsable del tratamiento (la empresa, el titular de la web, etc.) debe suscribir un contrato de encargo de tratamiento, cuenta con estas SCC y, por lo tanto, cumpliría con los requisitos del RGPD. Sin embargo, como veremos más adelante, las SCC tienen algunos problemas que podrían hacerlas no válidas para las autoridades de protección de datos.
Cabe señalar que durante un tiempo, el uso de MailChimp era legal de acuerdo a la normativa de protección de datos, puesto que entre EE. UU. y la UE existía un acuerdo para efectuar estas transferencias de datos entre ambos territorios. En realidad, fueron dos acuerdos, Safe Harbor y Privacy Shield, ambos anulados por el Tribunal de Justicia de la UE en las denominadas Sentencias Schrems I y II.
El punto clave de estas sentencias venía a decir que ninguno de estos acuerdos garantizaba que las agencias de seguridad estadounidenses (como la NSA o el FBI) no tuvieran acceso a los datos personales de ciudadanos europeos tratados en EE. UU., ya que las empresas de allí están obligadas, por las leyes relativas a la seguridad nacional y el interés público, a ceder estos datos a dichas agencias cuando se los requieren, sin necesidad de una orden judicial.
Desde la anulación de estos acuerdos, para asegurar que cumple con el RGPD, MailChimp recurre a las SCC y si visitamos su página web y la información al respecto, parecen realmente dedicados a respetar y contemplar las obligaciones de la normativa de protección de datos, con formularios ajustados al RGPD, que recogen y registran el consentimiento expreso de los usuarios.
Sin embargo, pese a estas medidas, el uso de MailChimp según el RGPD y la LOPDGDD todavía genera dudas.
¿Qué dice la AEPD sobre el uso de MailChimp?
Pese al uso de las cláusulas contractuales tipo de MailChimp, estas podrían resultar insuficientes para las autoridades de control de protección de datos.
Ya con la anulación del acuerdo Safe Harbor, se hicieron consultas a la AEPD sobre MailChimp; la respuesta de la Agencia fue rechazar de forma sistemática todas las solicitudes de los usuarios de la plataforma basándonos en dos argumentos:
- Por un lado, no es posible acreditar la firma de los representantes legales de MailChimp a través de ningún medio fehaciente. Además, las identidades de estos responsables tampoco figuraban en las cláusulas SCC.
- Y, por otro lado, el contrato está inglés, lo que conlleva dos irregularidades. Primero, de acuerdo a LOPDGDD, es obligatorio que cualquier documento entregado a la administración pública esté traducido a la lengua oficial. Y segundo, puesto que no está en español, podría anularse la validez del consentimiento de los usuarios, en caso de que estos no tengan el nivel adecuado en inglés (es decir, no pueden entender a qué están dando consentimiento).
Con la posterior anulación de Privacy Shield, las SCC no se cambiaron en MailChimp, por lo que también resultaban insuficientes para la AEPD. Y, aunque actualmente MailChimp ha actualizado sus SCC a las aprobadas por la Comisión Europea en junio de 2021, algunos problemas persisten, como el hecho que dichas SCC solo estén disponibles en inglés.
En cualquier caso, la AEPD no se ha vuelto a pronunciar al respecto, a diferencia de la autoridad de control alemana, que en una sentencia de abril de 2021, sí considera el uso de MailChimp ilegal, ya que contraviene el artículo 44 del RGPD y la doctrina fijada por la sentencia Schrems II.
Entonces, ¿usar MailChimp es legal?
Teniendo en cuenta todo lo que hemos visto hasta ahora, no podemos afirmar con seguridad que usar MailChimp es legal. En principio, la plataforma dice cumplir con todos los requisitos y obligaciones del RGPD, pero el problema con las garantías de derechos y privacidad que señalamos más arriba, parecen persistir, motivo por el cual, las autoridades de control europeas que se han pronunciado al respecto, siguen sin darle el visto bueno a las SCC de la plataforma (estas SCC son vinculantes entre MailChimp y el responsable del tratamiento, pero no para las agencias de seguridad estadounidenses que podrían requerir los datos).
Hasta que la UE y EE. UU. no vuelvan a firmar un acuerdo de garantías para las transferencias de datos personales entre ambos países (algo que podría estar ya en marcha, tras las últimas declaraciones hechas por ambos actores en marzo de 2022 y con motivo de la guerra de Ucrania), la aprobación del uso de MailChimp para el envío de emails comerciales dependerá de cada autoridad de control y posibles denuncias o consultas que puedan recibir al respecto.
Sigue estos pasos para usar MailChimp con «garantías»
Como decíamos, MailChimp parece estar comprometido con el RGPD y, por tanto, cuenta con funciones que ayudarán a los responsables del tratamiento a cumplir con la Ley de Protección de Datos al usar MailChimp, como por ejemplo poder activar la opción de doble consentimiento para recabar datos.
Por lo que si queréis seguir usando MailChimp y cumplir con la protección de datos, estos son los pasos que debéis seguir para ello (teniendo en cuenta todo lo que hemos dicho sobre la validez de sus SCC):
- Edita y adapta los formularios RGPD de MailChimp para recoger el consentimiento expreso de los usuarios a la hora de recabar sus datos (suscripción, newsletter, etc.).
- Incluye y edita el texto de protección de datos email, incluido cómo y dónde ejercer los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad.
- Activa del doble opt-in RGPD, que permite verificar cada dirección de correo y crear una base de datos segura y lícita.
- Incluye el uso de MailChimp en la política de privacidad de tu página web.
- Incluye las cookies que emplea MailChimp en tu política de cookies.
- Traduce al español todos los textos relacionados con protección de datos (por defecto, MailChimp está en inglés, pero es compatible con varios idiomas, incluido el español).
- Firma el contrato de encargo de tratamiento con MailChimp.
Finalmente, cerramos este artículo recomendándoos que, para estar más seguros a la hora de cumplir con la normativa de protección de datos, si empleáis plataformas de email marketing para vuestros envíos de correos comerciales, recurráis a una plataforma sita en la UE o cuyos servidores estén en la UE, tendréis muchas más garantías de que cumplen con el RGPD (aunque tampoco os olvidéis de comprobarlo).