¡Pide presupuesto en 2 min! ✓
Emails

¿Es legal utilizar MailChimp desde España?

6 Mins read

MailChimp es una de las plataformas de automatización de envío de emails más usadas por todo tipo de empresas y profesionales, sin embargo, tras la entrada en vigor del Reglamento General de Protección de Datos (RGPD) en 2018, la posterior anulación de los acuerdos de Safe Harbor y más tarde del Privacy Shield, han puesto en duda la legalidad de usar MailChimp en España. En esta entrada trataremos de dar respuesta a esta duda.

¿Qué es MailChimp?

Para aquellos que no estéis familiarizados con MailChimp, se trata de una plataforma con la que las empresas pueden automatizar sus campañas de email marketing de una manera bastante sencilla. Es decir, se emplea para realizar envíos masivos de emails a los clientes, suscriptores o toda aquella persona que haya dado su consentimiento a la empresa (mediante un formulario en la web) para recibir comunicaciones por correo electrónico.

Habitualmente, MailChimp se emplea para enviar avisos, información variada, campañas de descuentos, publicidad, newsletters, etc. Es una herramienta muy útil para el marketing digital, ya que facilita el envío de grandes volúmenes de emails.

Así que las empresas que emplean MailChimp en España deben facilitar las direcciones de correo electrónico de sus clientes, suscriptores y otros consumidores a esta plataforma, para poder llevar a cabo la automatización de los envíos.

¿Es el correo electrónico un dato personal?

Ahora, ¿se considera el correo electrónico un dato personal? De acuerdo con la normativa de protección de datos, sí, la dirección de email que facilitan los usuarios para registrarse en una página web o suscribirse a algún servicio online, es considerado un dato de carácter personal y, por tanto, queda protegido por el actual marco legal, regulado tanto por el RGPD como por la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales).

¿Qué quiere decir esto? Básicamente, que una empresa debe tener en cuenta ciertas consideraciones antes de ceder estas direcciones de correo electrónico a terceros, especialmente, asegurarse de que dichos terceros cumplen también la leyes de protección de datos. Puesto que es responsabilidad de la empresa garantizar el correcto tratamiento de los datos personales de sus clientes o usuarios y no cumplir con ello puede acarrear importantes sanciones.

Recordemos que cuando se van a ceder datos personales a terceros, el RGPD obliga a firmar con ellos un contrato con los encargados de tratamiento, donde se establecen las obligaciones para cada parte en materia de protección de los datos personales cedidos.

¿Es legal o ilegal MailChimp?

Para responder a la pregunta de si usar MailChimp es España es legal o ilegal, tenemos que hablar antes de dos acuerdos firmados entre EE.UU. y la Unión Europea para permitir la transferencia de datos personales fuera de la UE, puesto que las leyes de protección de datos en EE.UU. no son iguales a las europeas y es necesario que los usuarios europeos cuenten con las mismas garantías respecto al manejo y tratamiento de sus datos personales.

Hay que tener en cuenta que muchas empresas cuyos servicios se emplean en Europa, tienen sus sedes y, más importante para lo que nos ocupa en esta entrada, sus servidores en EE.UU.; esto implica que cuando se recopilan datos personales de ciudadanos europeos, estos son transferidos a esos servidores en suelo estadounidense, algo que de acuerdo al RGPD no se puede hacer, salvo que existan las conocidas como cláusulas contractuales estándar (SCC) dentro de los contratos para el tratamiento de datos personales. Estas SCC deben haber sido examinadas y aprobadas por las autoridades de protección de datos competentes, que en España es la Agencia Española de Protección de Datos (AEPD).

Para «salvar» este problema y no tener que recurrir a las SCC, se llegaron a negociar y firmar dos acuerdos para poder permitir la transferencia de datos personales entre la UE y EE.UU.; primero fue el Safe Harbor y cuando este acuerdo fue anulado, se creó el Privacy Shield (o Escudo de Seguridad), que finalmente, en julio de 2020 también resultó anulado.

¿Dónde deja todo esto a la legalidad de usar MailChimp en España? Porque esta plataforma no tiene servidores en la Unión Europea.

¿Qué pasó con MailChimp tras la Disolución del Safe Harbor?

Con la disolución del Safe Harbor por parte del Tribunal de Justicia de la UE (TJUE), MailChimp creó un nuevo contrato para el tratamiento de datos para sus clientes europeos, cuyas cláusulas recogían garantías similares las exigidas por aquel entonces por la LOPD, que las empresas que fueran a usar esta plataforma para sus campañas email marketing podrían presentar a la AEPD para solicitar la transferencia de datos personales fuera de la UE.

Sin embargo, estas medidas no fueron suficientes, como veremos un poco más adelante. Así que, las empresas que emplearon MailChimp durante ese tiempo, habrían estado cediendo datos personales de sus clientes o usuarios a terceros, incumpliendo la normativa vigente. Lo que cambiaría con la firma del acuerdo Privacy Shield, que por un tiempo, volvió a dejar amparadas por la ley estas transferencias.

¿Y tras la anulación del Privacy Shield?

Parecía que todo estaba solucionado con el Privacy Shield, puesto que garantizaba la misma protección a los datos personales transferidos desde la UE a EE.UU., pero este acuerdo siguió los mismos pasos en el TJUE que Safe Harbor. Y es que lo que no garantizaba el acuerdo era que esos datos personales no acabaran en manos de las agencias del gobierno de EE.UU., puesto que las empresas norteamericanas están obligadas por las leyes relativas a la seguridad nacional y el interés público, a ceder estos datos a dichas agencias cuando se los requieren.

Así, todas las empresas bajo el amparo del Privacy Shield, entre ellas MailChimp, volvieron a quedar fuera de las leyes europeas. ¿Qué hizo la plataforma?

MailChimp se «adelantó» a la anulación del Privacy Shield al incluir en sus condiciones y términos de uso una cláusula que decía que ante la anulación de este, entraban a funcionar automáticamente las SCC, sin necesidad de que el sus clientes tuvieran que hacer nada más.

Sin embargo, como vamos a ver en el siguiente punto, las SCC no han sido suficientes para garantizar la protección de datos personales y permitir la cesión de los mismos.

¿Qué dice la AEPD sobre la protección de usuarios en relación a MailChimp?

Como decíamos, MailChimp recurrió a las SCC para poder seguir transfiriendo datos desde la UE a sus servidores en EE.UU., pero como ya hemos adelantado, estas cláusulas han resultado ser insuficientes.

En su momento se hicieron consultas a la AEPD sobre MailChimp; la respuesta de la Agencia fue rechazar de forma sistemática todas las solicitudes de los usuarios de la plataforma en base a dos argumentos:

  • Por un lado, no es posible acreditar la firma de los representantes legales de MailChimp a través de ningún medio fehaciente. Además, las identidades de estos responsables tampoco figuraban en las cláusulas SCC.
  • Y por otro lado, el contrato está inglés, lo que conlleva dos irregularidades. Primero, de acuerdo a LOPDGDD es obligatorio que cualquier documento entregado a la administración pública esté traducido a la lengua oficial. Y segundo, puesto que no está en español, podría anularse la validez del consentimiento de los usuarios, en caso de que estos no tengan el nivel adecuado en inglés (es decir, no pueden entender a qué están dando consentimiento).

Esto ocurrió con la disolución de Safe Harbor, pero las cosas no han cambiado tras la anulación del Privacy Shield, de hecho, si entráis el apartado de «Cumplimiento del RGPD» de MailChimp y vais a «Cumplimiento de la normativa sobre exportación de datos en Europa por parte de MailChimp», veréis que la información está en inglés. Es aquí donde aparecen mencionadas las SCC y su entrada en funcionamiento tras la anulación del Privacy Shield.

¿Cómo usar esta plataforma con garantías?

Así que, queda preguntarse si las empresas todavía pueden usar MailChimp para enviar sus newsletters cumpliendo la LOPD y el RGPD. Actualmente y a falta de la UE y EE.UU. lleguen a nuevo acuerdo que permita de nuevo la transferencia de datos internacionales, solo queda recurrir a las SCC, que en principio y de acuerdo la UE son suficientes, aunque caso a caso, pueden crear conflictos con las normativas nacionales, como hemos visto que es el caso de MailChimp en España, donde la AEPD se ha mostrada contraria a la transferencia datos personales de esta empresa.

Por lo tanto, y hasta que no se firme un nuevo acuerdo entre la UE y EE.UU., aunque se puede seguir utilizando MailChimp para el envío masivo de emails, debéis tener en cuenta que para la AEPD las SCC no son suficientes y que quizás, la mejor opción sea, por el momento, recurrir a plataformas de email marketing con sede en la UE.

Helena Ramírez

About author
Licenciada en Periodismo por la Universidad Complutense de Madrid. Redactora de contenidos informativos, jurídicos y empresariales, Internet, nuevas tecnologías, entorno digital, ciberseguridad y protección de datos.
Articles
Related posts
CiberseguridadEmailsInternet

Lista blanca, gris o negra. Qué son y diferencias

18 Mins read
Proteger los sistemas informáticos individuales y las redes organizativas de los efectos de software malicioso o la intrusión de usuarios y aplicaciones…
EmailsInternet

¿Qué es el Doble Opt-in y que ventajas tiene frente al Opt-in único?

5 Mins read
Si vas a implementar una estrategia de email marketing para tu empresa, necesitas saber qué es el Doble Opt-in y qué ventajas…
EmailsInternet

¿Cómo afecta la ley de protección de datos al correo electrónico?

5 Mins read
¿Recibes correos electrónicos o newsletters de empresas externas? ¿O los envías? En ambos casos tienes que tener en cuenta la Ley de Protección de Datos

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.