La solución que ofrece Mailchimp no es válida para la AEPD

La solución que ofrece Mailchimp no es válida para la AEPD

A pesar de todo lo que se ha publicado al respecto de como solucionar la problemática surgida al respecto de la anulación del Acuerdo de Puerto Seguro, por parte del Tribunal Superior de la Unión Europea, parece que la Agencia Española de Protección de Datos, está poniendo problemas a algunas acciones de regularización que se están presentando.

Concretamente la AEPD está denegando autorizaciones al tratamiento internacional de datos en la plataforma Mailchimp.

La solución propuesta por esta plataforma era la de firmar un contrato con la entidad en la cual se garantizaban los requisitos que la nueva situación legal plantea y previa autorización de la directora de la AEPD, todo estaría mas o menos claro. Pero parece que la cosa no es tan sencilla.

Según indican fuentes de la Agencia Española de Protección de Datos, se están rechazando estas soluciones de forma continua por dos motivos concretos:

  1. Los contratos están redactados en ingles y la normativa española exige que cualquier documento presentado ante un órgano administrativo, esté convenientemente traducido.

  2. No se puede demostrar fehacientemente la identidad de una de las partes que firma el contrato, en concreto de Mailchimp.

Por tanto, a pesar de que en apariencia la solución aportada por la empresa estadounidense, se adecuaba al texto estricto de la norma, hay detalles que son fuente de controversia y por tanto no es una solución válida.

Mi recomendación desde el principio de la polémica ha sido siempre la de trasladar los servicios que impliquen gestión de datos al entorno de la UE. En algunos casos he recomendado la firma del convenio que Mailchimp proponía, pero bajo la responsabilidad del usuario.

Ahora, más que nunca, está claro que la solución ideal es la de hacer un poco de trabajo de investigación y buscar proveedores de servicios que estén ubicados dentro del entorno europeo para poder asegurar la legalidad de las operaciones.

Cabe ver todavía como evoluciona toda esta situación y hay que recordar que el plazo para regularizar los tratamientos internacionales de datos, finaliza el próximo 29 de enero.

Photo credit: tomoswyn via Foter.com / CC BY-SA

10 Reacciones en “La solución que ofrece Mailchimp no es válida para la AEPD

  1. Pingback: La solución que ofrece Mailchimp no es válida para la AEPD | AudiDAT Caceres

  2. José Reply

    A ver, es que hay que saber de esto…
    Los requisitos están muy claros:
    – contratos basados en las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo (Mailchimp lo proporciona en inglés firmado, luego tú lo traduces de forma jurada al castellano) y
    – poderes de los firmantes: los solicitas a Mailchimp (en inglés) y los traduces de nuevo de forma jurada al castellano

    y enviar…

    • José Manuel Sanz Reply

      Así es José.

      El problema viene cuando uno no está bien asesorado y hace las cosas de oído. Y luego pasa lo que pasa. De todas formas, yo soy de la opinión de que es mejor, en este caso, cada uno tendrá su opinión al respecto, buscar soluciones y aplicaciones dentro de la UE. Que “haberlas, haylas”.

      Saludos y gracias por tu comentario.

  3. Pingback: Entonces, ¿que hacemos con Mailchimp ? | José Manuel Sanz - Auditoría y adaptación a la LOPD

  4. Pingback: Cómo solucionar los problemas legales de utilizar Mailchimp | José Ramón Valle | Interim Marketing

  5. Javier Reply

    Hola José Manuel, gracias por la información. Lo que me queda claro al leerte es que hay que intentar dar con un proveedor español, o que tnega los servidores en España. Además de Mailrelay, que mencionas, me han hablado de http://www.mailchimp.com y de http://www.sendinblue.com, que ambos parece que cumplen la LOPD. ¿Cuál de ellos me recomendarías? ¿Tiene sentido trabajar con dos proveedores para una base de contactos de unos 12.000? Mil gracias por tu respuesta.

    • Jose Manuel Sanz Post authorReply

      Buenos días y ante todo, gracias por tus comentarios.
      Como verás, el post es del año pasado y la situación ha cambiado substancialmente desde entonces. Con la aprobación de Privacy Shield, las relaciones con los proveedores de servicios que acceden a datos desde EEUU, ha vuelto a una situación similar a como estaban cuando estaba en vigor Safe Harbor. Lo que significa que se pueden usar los servicios en EEUU, sin tantas complicaciones como en los meses que existió el impasse entre la derogación de un acuerdo y la aprobación del siguiente.
      De todas formas, sigo pensando en que la mejor solución que prestar un servicio que garantice al 100% los derechos de los usuarios (piensa en la entrada en vigor del RGPD el próximo 2018), es usar proveedores que tengan su infraestructura en España o en la UE. De las plataformas que me nombras, soy usuario tanto de Acumbamail como de MailRelay. Simplemente te puedo dar mi opinión personal, que no tiene más valor que eso, una opinión. Para mi, Acumbamail es más sencilla de manejar para el usuario, pero MailRelay tiene un interface más compleja, aunque igual de potente.
      Lo importante realmente no es tanto la plataforma que uses, hay planes de precios interesantes en los dos casos, sino la legalidad de los datos que vas a manejar en ella. Tienes que cumplir en cualquier caso con los requisitos de información y consentimiento expreso para la gestión de la información y el envío de comunicaciones, para no contravenir ni la LOPD ni la LSSICE.
      Espero que te haya quedado más o menos claro. Para cualquier duda, quedo a tu disposición.

      Un saludo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *