Mailchimp ¿cumple la LOPD?

Mailchimp se ha convertido en una herramienta imprescindible para el diseño y lanzamiento de campañas de email marketing para muchas empresas españolas. La solución es bien sencilla: se procede al alta, se diseña una plantilla y tras cargar la base de datos de nuestros clientes, Mailchimp gestiona los envíos y gestiona las bajas. La mayoría de empresas usan una versión gratuita de Mailchimp lo que permite realizar envíos hasta 2000 destinatarios. Difícil encontrar en el mercado una solución más sencilla, intuitiva y económica.

Con la LOPD hemos topado

Esta solución ideal, sin embargo tiene sus peros y no es otro que cómo dar cumplimiento a la LOPD y todo ello por qué en el uso de los servicios, vamos a cargar en los servidores de Mailchimp (o de quien este decida), toda o parte de la base de datos de los contactos a los que enviaremos nuestras comunicaciones comerciales. Los problemas concretos son pues los siguientes:

  • ¿Responde Mailchimp a la figura de encargado del tratamiento que establece la LOPD y, en caso positivo, cómo damos cumplimiento al deber de un contrato en tanto a proveedor de un servicio?
  • ¿Estamos ante un caso de transferencia internacional de datos? Si es así ¿cómo se soluciona a nivel legal?
Mailchimp ¿cumple la LOPD?
Mailchimp ¿cumple la LOPD?

Mailchimp ¿es un encargado del tratamiento?

La LOPD define al encargado del tratamiento como la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.” ¿Quién es quién? El responsable del tratamiento es quien dispone de los datos y crea la campaña y por tanto Mailchimp en tanto que facilitador de la plataforma y como mero intermediario, asume la figura de encargado del tratamiento en relación a la campaña. ¿Y qué significa esto? Pues toda relación entre un responsable del tratamiento y un encargado, debe cumplir los siguientes requisitos:

  • Debe estar regulada en un contrato celebrado por escrito o en otra forma que permita acreditar su celebración.
  • El encargado debe asumir que únicamente accederá a los datos para prestar el servicio al responsable, en este caso, el envío y gestión de la campaña.
  • Deben establecerse las medidas de seguridad a aplicar por el encargado del tratamiento.

¿Cómo dar cumplimiento a estos requistios?

La pregunta resulta obvia en este punto puesto que Mailchimp no negocia las condiciones de su servicio con sus clientes. Éstos simplemente las aceptan o no, sin posibilidad de introducir o modificar cláusula alguna. Siendo esto así cabe recordar que la propia AEPD en la Guía de cloud computing que publicó en su día, utilizó un argumento válido para este caso, cuál es que el hecho que el cliente no pueda negociar las condiciones del servicio, no le exime de responsabilidad de cumplir con la ley. Resulta por tanto necesario una revisión previa de las condiciones del servicio así como de la política de privacidad de Mailchimp a efectos de asegurar el no uso de los datos cargados para otras finalidades, así como la aplicación de unas medidas de seguridad mínimas. En la actualidad la citada política asegura:

  • Que los emails facilitados (Distribution list) no serán, bajo ningún concepto compartidos con terceros.
  • Notificación de incidencias.
  • Uso de un certificado de encriptación SSL.

¿Estamos ante una transferencia internacional de datos? La LOPD considera que estamos ante tal transferencia cuando los datos recabados en España, son transferidos a un Estado fuera de la Unión Europea o del Espacio Económico Europeo. Mailchimp es una empresa con sede en EUA por lo que formalmente estamos ante una transferencia internacional de datos. En el caso de EUA, sin embargo muchas empresas tecnológicas se han adherido a lo que se conoce como los Principios de Puerto Seguro, lo que implica que dichas empresas son tratadas, a nivel de protección de datos como si de una empresa española o europea se tratara. Mailchimp se encuentra entre esas empresas. Ello tiene como consecuencia que cumpliendo los requisitos anteriormente señalados como encargado del tratamiento, sería suficiente y mientras mantenga la certificación en vigor, no sería necesario tomar mayores acciones en relación al alojamiento de los datos fuera de la UE.

Entonces, ¿está todo bien?

Toma estos últimos consejos en cuenta si usas Mailchimp:

  • Asegúrate que cumple con los requisitos mínimos de la LOPD para prestar un servicio con acceso a datos. Atención con las subcontrataciones.
  • Asegúrate que mantiene el certificado de Puerto Seguro en vigor.
  • Actualiza tu Documento de Seguridad para introducir el tratamiento de datos que lleva a cabo Mailchimp.
  • Mantén un registro independiente de las bajas de los subscriptores para hacer frente a posibles denuncias ante la AEPD, durante el tiempo de prescripción.

Mailchimp es por tanto una buena herramienta para el marketing de las empresas, ten en cuenta estos consejos para que su uso no te suponga un problema legal con la LOPD.

La legalidad de tu empresa,
en las mejores manos


93 540 43 32