El chimpancé, el escudo y la cláusula escondida
Por Miguel Mauleón Bella, Abogado of counsel de privacidad en Abanlex y Certificado DPO 10/2018 por AENOR
La entrada en aplicación el pasado 25 de mayo del Reglamento General de Protección de Datos (DGPR) despertó las alarmas en muchos departamentos y empresas de marketing (si trabajas en el sector y no recuerdas ese periodo de caos y alarma… o bien estaba todo bajo control o deberías pensar en alarmarte ahora).
El GDPR afectó en muchos casos, al diseño de las campañas, a las estrategias de envió comercial (aunque recordemos que las comunicaciones comerciales vienen reguladas por la LSSI y no debería haber sido tan traumático el 25M), a las bases de datos, a la forma de recabar los datos de los usuarios y, entre otros, a las aplicaciones y plataformas de marketing digital.
Mi empresa usa Mailchimp. ¿Cumple con GDPR?
Una de las aplicaciones más utilizadas en el sector para la elaboración y envío de campañas de Marketing es Mailchimp.
Muchos de los que en su momento hicieron las cosas bien o se alarmaron a tiempo dirán «no hay problema, Mailchimp pensó en todo y prueba de ello es que nos habilitaron formularios que cumplían con GDPR y que nos permiten almacenar el consentimiento e informar como es debido». Si esto te suena a chino, más vale que visites su página https://mailchimp.com/es/help/collect-consent-with-gdpr-forms/
Pero, ¿esta es toda la problemática que presenta Mailchimp? ¿Cumple mi empresa con GDPR simplemente con aceptar los formularios de la web de Mailchimp? La respuesta es un rotundo no.
Mailchimp, en la mayoría de los casos, es un encargado del tratamiento más, es decir, es una empresa que trata datos personales por cuenta del responsable del tratamiento. No solo eso, Mailchimp es un encargado del tratamiento de tu empresa que se encuentra en EE.UU., un país fuera de la Unión Europea que no cuenta con una decisión de adecuación ni ofrece las garantías adecuadas a efectos del GDPR otorgando a tus usuarios una menor protección que la que existiría dentro de la Unión Europea.
Y, entonces… ¿qué debo hacer para cumplir GDPR si uso Mailchimp?
La respuesta a esta pregunta la encontramos en el artículo 20.5 de los Términos de uso de Mailchimp (https://mailchimp.com/legal/terms/). Este epígrafe nos indica que tu empresa debe firmar y entregar a Mailchimp un “MailChimp’s Data Processing Addendum” (Mailchimp lo traduce como “acuerdo de procesamiento de datos”).
Esta adenda a vuestro contrato de servicio con Mailchimp, es un contrato de encargado de tratamiento, en el que se regulan los términos del tratamiento de los datos personales de ambas partes, cumpliendo así con la exigencia del artículo 28.3 del GDPR.
Entre las obligaciones que suscribe Mailchimp en ese documento, en su artículo 8.2 se indica que debe considerarse que Mailchimp proporciona una protección adecuada de los datos a la luz del GDPR mediante su auto inscripción en el Privacy Shield y acuerda tratar los datos de acuerdo a los requerimientos y principios del Privacy Shield.
El documento puede encontrarse aquí: https://mailchimp.com/legal/forms/data-processing-agreement
[El chimpancé, el escudo y la cláusula escondida / The chimp, the shield and the hidden clause, por Miguel Mauleón]
En Abanlex ofrecemos un servicio de vigilancia GDPR para que sepas que cumples, para que puedas dedicarte a tu negocio y hacerlo crecer. ¡Contacta ahora con nosotros! Queremos formar parte de tu negocio.