Mailchimp: compleix la LOPD?

Mailchimp s’ha convertit en una eina imprescindible per al disseny i llançament de campanyes d’email màrqueting per a moltes empreses espanyoles. La solució és ben senzilla: es procedeix a l’alta, es dissenya una plantilla i després de carregar la base de dades dels nostres clients, Mailchimp gestiona els enviaments i gestiona les baixes.

La majoria d’empreses usen una versió gratuïta de Mailchimp el que permet realitzar enviaments fins a 2000 destinataris. Difícil trobar al mercat una solució més senzilla, intuïtiva i econòmica.

Amb la LOPD hem topat

Aquesta solució ideal, no obstant això té els seus problemes com per exemple donar compliment a la LOPD i tot això per què en l’ús dels serveis, carregarem en els servidors de Mailchimp (o de qui aquest decideixi), tota o part de la base de dades dels contactes als quals enviarem les nostres comunicacions comercials. Els problemes concrets són doncs els següents:

• Respon Mailchimp a la figura d’encarregat del tractament que estableix la LOPD i, en cas positiu, com donem compliment en deure un contracte en tant a proveïdor d’un servei?

• Estem davant un cas de transferència internacional de dades? Si és així com se soluciona a nivell legal?

Mailchimp és un encarregat del tractament?

La LOPD defineix a l’encarregat del tractament com “la persona física o jurídica, autoritat pública, servei o qualsevol altre organisme que, només o conjuntament amb uns altres, tracti dades personals per compte del responsable del tractament.” Qui és qui? El responsable del tractament és qui disposa de les dades i crea la campanya i per tant Mailchimp com a facilitador de la plataforma i com a mer intermediari, assumeix la figura d’encarregat del tractament en relació a la campanya. I què significa això? Doncs tota relació entre un responsable del tractament i un encarregat, ha de complir els següents requisits:

• Ha d’estar regulada en un contracte celebrat per escrit o en una altra forma que permeti acreditar la seva celebració.

• L’encarregat ha d’assumir que únicament accedirà a les dades per prestar el servei al responsable, en aquest cas, l’enviament i gestió de la campanya.

• Han d’establir-se les mesures de seguretat a aplicar per l’encarregat del tractament.

Com donar compliment a aquests requisits? la pregunta resulta òbvia en aquest punt ja que Mailchimp no negocia les condicions del seu servei amb els seus clients. Aquests simplement les accepten o no, sense possibilitat d’introduir o modificar clàusula alguna. Sent això així cal recordar que la pròpia AEPD en la Guia de cloud computing que va publicar en el seu moment, va utilitzar un argument vàlid per a aquest cas, com és que el fet que el client no pugui negociar les condicions del servei, no l’eximeix de responsabilitat de complir amb la llei.

Resulta, per tant, necessari, una revisió prèvia de les condicions del servei així com de la política de privacitat de Mailchimp a l’efecte d’assegurar el no ús de les dades carregades per a altres finalitats, així com l’aplicació d’unes mesures de seguretat mínimes. En l’actualitat la citada política assegura:

• Que els emails facilitats (Distribution list) no seran, en cap concepte compartits amb tercers.

• Notificació d’incidències.

• Ús d’un certificat d’encriptació SSL.

Estem davant una transferència internacional de dades? La LOPD considera que estem davant tal transferència quan les dades recaptades a Espanya, són transferides a un Estat fora de la Unió Europea o de l’Espai Econòmic Europeu. Mailchimp és una empresa amb seu als EUA pel que formalment estem davant una transferència internacional de dades.

En el cas de EUA, no obstant això, moltes empreses tecnològiques s’han adherit al que es coneix com els Principis de Port Segur, la qual cosa implica que aquestes empreses són tractades, a nivell de protecció de dades com si d’una empresa espanyola o europea es tractés. Mailchimp es troba entre aquestes empreses. Això té com a conseqüència que complint els requisits anteriorment assenyalats com a encarregat del tractament, seria suficient i mentre mantingui la certificació en vigor, no seria necessari prendre majors accions en relació a l’allotjament de les dades fora de la UE.

Llavors, està tot bé?

Considera aquests últims consells en compte si uses Mailchimp:

• Assegura’t que compleix amb els requisits mínims de la LOPD per prestar un servei amb accés a dades. Atenció amb les subcontractacions.

• Assegura’t que manté el certificat de Port Segur en vigor.

• Actualitza el teu Document de Seguretat per introduir el tractament de dades que duu a terme Mailchimp.

• Mantingues un registre independent de les baixes dels subscriptors per fer front a possibles denúncies davant l’AEPD, durant el temps de prescripció.

Mailchimp és per tant una bona eina per al màrqueting de les empreses, tingues en compte aquests consells perquè el seu ús no et suposi un problema legal amb la LOPD.

Si tens dubtes sobre aquest o qualsevol altra tema, no dubtis en contactar amb nosaltres!