El día 24 entré en shock al leer este comunicado de Mailchimp:

 

Lo comenté con algunos colaboradores y nadie lo había visto, Así que me puse a buscar un abogado que me echara una mano para valorar las implicaciones legales de este cambio, porque no olvides que las cuestiones en materia de protección de datos te afectan, aunque tu proyecto  tenga la consideración de PYME o aunque utilices la versión gratuita de Mailchimp.
Varias referencias me comentaron que  Nando Olcina podría ayudarme y aquí está, colaborando conmigo en la redacción  del post para que os podamos explicar cómo cumplir la normativa en materia de protección de datos.  Pero, ¡atención! Para aquellos que todavía no lo sepáis, desde el 25 de mayo de 2016 está en vigor el nuevo Reglamento General de Protección de Datos (RGPD). Este reglamento no es más que la normativa comunitaria europea que viene a introducir importantes modificaciones en materia de tratamiento de protección de datos personales.
Sí, has leído bien, en vigor desde el mes de mayo de 2016. Pero no te agobies todavía! Tienes hasta el 25 de mayo de 2018 para adaptar tus políticas y la manera en que recabas y tratas datos personales. Hasta esa fecha el RGPD será de plena aplicación.

 

Hoy puede ser un buen momento para ver si cumples con esa nueva normativa.

 

También, está en trámite el Anteproyecto de la nueva Ley Orgánica de Protección de Datos, pues la LOPD vigente hasta ahora y el reglamento que la desarrolla, pasarán a mejor vida. Dicha nueva Ley Orgánica de Protección de Datos matizará algunos aspectos del RGPD, pero no olvides que el RGPD es de aplicación directa en el territorio de la Unión Europea.

 

El 30 de octubre, mientras escribíamos el post con Nando, llegó una nueva comunicación de Mailchimp:

 

Para los que no andéis a buenas con el inglés:

El día 24 de octubre Mailchimp anunció un cambio automático en todas sus cuentas. Éstas pasaban a single opt-in por defecto. El 30 de octubre, echaron marcha atrás para las cuentas alojadas en la Unión Europea. El el aluvión de críticas recibidas fue inmenso. En el post te cuento más en detalle en qué te afecta este cambio.

 

Qué es el doble opt in y porqué es importante para cumplir la LOPD en Mailchimp?

 

Las palabras “doble opt-in” y “single opt-in” se refieren al proceso que siguen tus suscriptores para confirmar que quieren ser parte de tu lista. En un caso deben confirmar por correo y en el otro no. En esta tabla te muestro los pasos de los dos procesos

 

 

El single “opt-in” es más inmediato y puede parecer más práctico. Pero si no lo tienes bien configurado, puedes tener problemas con la protección de datos personales.

 

¿Qué tiene que ver esto con la normativa en materia de protección de datos?

 

Mailchimp, al igual que cualquier otro proveedor de servicios en la nube, no es más que una herramienta que te sirve para crear campañas de mail marketing, y muy útil, ¿verdad?.

No obstante, no pienses que como usas Mailchimp, los datos personales que recabas son de Mailchimp y debe ser Mailchimp la que se preocupe de cumplir con la legalidad. Nada más lejos de la realidad.

Tú recabas datos a través de los formularios de registro de tu web, y tú tomas las decisiones de lo que haces o dejas de hacer con los datos de los usuarios de tu web, eres el/la Responsable de Tratamiento.
Mailchimp, en el caso que nos ocupa, no deja de ser un mero Encargado de Tratamiento, que por supuesto, tiene acceso a tus listas de usuarios, pero  únicamente usará esos datos personales para las finalidades de su servicio.

Como Responsable de Tratamiento, estás obligado/a  a tener firmado un contrato con los Encargados de Tratamiento y es tu responsabilidad asegurarte de que los mismos cumplen con los requisitos que les exige el RGPD.

¿Y el “doble opt in” te ayuda a cumplir con la normativa de protección de datos?

 

Tener configurado el “doble opt in”, por sí solo, no es sinónimo de cumplir con el RGPD.

Está claro que el “doble opt in” nos sirve para verificar la identidad. Y así asegurarnos de que aquellos que se suscriben a nuestro blog o se registran en nuestro e-commerce son quiénes dicen ser. Pero si no establecemos otras funcionalidades, no estaremos cumpliendo con el RGPD.

 

Entonces, ¿Qué debemos hacer?

 

Para poder tratar datos personales debemos disponer de una base jurídica de tratamiento. Y te recordamos que  la dirección de correo electrónico es un dato personal,

Esto suena muy técnico, vamos a detallarlo:

 

¿Qué es la base jurídica de tratamiento?

Sería algo así como la justificación que tenemos para poder recabar, almacenar, organizar, estructurar, utilizar, comunicar, etc. datos personales. Las bases jurídicas más usuales para ti serían:

  • El consentimiento
  • La ejecución de un contrato de los servicios que ofreces al usuario
  • El interés legítimo.

Si nos centramos en el consentimiento, el mismo debe cumplir las siguientes condiciones. Así evitaremos problemas con la Agencia Española de Protección de Datos:

  • Debe ser una declaración o clara acción afirmativa: podría ser, por ejemplo, el marcado de una casilla o varias en las que se expresen las finalidades al tratamiento.
  • Informada: poniendo a disposición del usuario la política de privacidad y que en la misma se contenga la información requerida por el RGPD
  • Inequívoca: Que no haya duda (de nuevo la casilla de aceptación es la mejor solución)
  • Específica: Para cada una de las finalidades de tratamiento que vaya a realizar el Responsable de Tratamiento (El titular de la Web). Por ejemplo: Si se van a realizar perfiles ten en cuenta que: Se van a ceder datos a terceros. Y se van a remitir comunicaciones comerciales. Por eso, habrá que disponer una casilla en la que el usuario declare haber leído y aceptar la política de privacidad. Otra casilla en la que autorice la cesión de datos a terceros. Otra casilla en la que acepte la realización de perfiles con sus datos. Y otra en la que acepte la remisión de comunicaciones comerciales.
  • Libre: No se puede condicionar la contratación de un producto o servicio a que el usuario acepte todas las casillas anteriormente mencionadas.

 

¿Qué cambios necesitas en Mailchimp para cumplir con la normativa de protección de datos?

 

Aunque contrataras a un abogado en su momento y pienses que lo tienes todo resuelto, puedes estar equivocado. Quizá deberías contactar con él de nuevo y que revise si cumples con el nuevo RGPD. Puede que a partir de mayo de 2018 ya no sea necesario dar de alta los ficheros ante la AEPD. Pero hay muchas otras obligaciones como por ejemplo disponer de un Registro de Actividades de Tratamiento.

 

Si vives en el limbo legal, pero recabas datos de sucriptores, clientes, usuarios, etc., te estás arriesgando a cuantiosas indemnizaciones. Si no sabes del tema, busca ayuda profesional y contrata un abogado especialista

 

Lo que deberías hacer es implementar tus formularios de mailchimp con casillas de aceptación de la política de privacidad. Añadiendo además las finalidades para las que vayas a emplear los datos que recabas. Es decir, casillas visibles en los formularios de suscripción de tu web. De este modo cumples sin importar que tipo de opt in estés usando.

 

Para ver el vídeo de pasos detallados sobre cómo configurar las casillas en tus formularios puedes darle al play:

 

¿Qué pasa si tu diseño o plantilla no permite añadir las casillas de verificación a los formularios?

Puedes usar el  “doble opt- in”: es una solución alternativa, pero que nos gusta menos que las casillas de aceptación:

El usuario de tu web introduce su correo electrónico y añades un texto que diga: “Al introducir tu correo y darle al botón enviar estás aceptando nuestra política de privacidad”. En ese texto debe establecerse un enlace a la política de privacidad. Y en este texto debemos proporcionar toda la información que el RGPD exige.

Además, en el mail de confirmación, debes incluir un texto que diga: “Al confirmar tu dirección, estás aceptando nuestra política de privacidad”. Consignando de nuevo un enlace a esa política de privacidad.

Así, entendemos que se trata de un consentimiento mediante una clara acción afirmativa, que permite un consentimiento inequívoco, libre, informado y específico.

Lo que no permite esta solución alternativa es dar un consentimiento “granulado” para diferentes finalidades de tratamiento (cesión de datos a terceros, realización de perfiles, transferencias de datos internacionales), porque con el nuevo RGPD ya no vale ponerlo todo en la política de privacidad y que el usuario la acepte sin leerla.

 

 

¿Se puede recabar el consentimiento con “single opt- in” sin casillas de verificación?

 

Esta combinación no es posible. Si no puedes añadir las casillas de aceptación, debes usar “doble opt- in”. (Tal como te hemos explicado en el apartado anterior).

El uso del “single opt- in” te obliga a incluir las casillas de aceptación al formulario. Ten en cuenta que al usar esta configuración de Mailchimp pierdes “control”. Ya no sabes  si el que se suscribe es el verdadero titular del correo electrónico. Esta configuración permite que alguien suscriba a nuestra newsletter a otra persona sin su permiso. Ahí corremos el riesgo de que alguien nos pida explicaciones. Y en el peor de los casos acuda a la AEPD.

 

Recuerda que al usar el “single opt- in”, perdemos la comprobación de identidad. Y además, también, dejas la puerta abierta a los registros de bots automáticos a la caza de direcciones de correo. Estos bots podrían llenar tu Mailchimp de direcciones inútiles que solo distorsionarán tus estadísticas.

 

En resumen, los de Mailchimp han intentado ser más ágiles. Pero que esa agilidad no haga que te olvides de las obligaciones que te corresponden como responsable de los datos que recabas a través de tus formularios.

 

¿Tienes dudas sobre cómo configurar MailChimp? Déjalas aquí debajo y las iremos respondiendo.