LOPD en Mailchimp

Cumplir con la normativa de la LOPD en Mailchimp

El día 24 entré en shock al leer este comunicado de Mailchimp:

Lo comenté con algunos colaboradores y nadie lo había visto, Así que me puse a buscar un abogado que me echara una mano para valorar las implicaciones legales de este cambio, porque no olvides que las cuestiones en materia de protección de datos te afectan, aunque tu proyecto  tenga la consideración de PYME o aunque utilices la versión gratuita de Mailchimp.
Varias referencias me comentaron que  Nando Olcina podría ayudarme y aquí está, colaborando conmigo en la redacción  del post para que os podamos explicar cómo cumplir la normativa en materia de protección de datos.  Pero, ¡atención! Para aquellos que todavía no lo sepáis, desde el 25 de mayo de 2016 está en vigor el nuevo Reglamento General de Protección de Datos (RGPD). Este reglamento no es más que la normativa comunitaria europea que viene a introducir importantes modificaciones en materia de tratamiento de protección de datos personales.
Sí, has leído bien, en vigor desde el mes de mayo de 2016. Pero no te agobies todavía! Tienes hasta el 25 de mayo de 2018 para adaptar tus políticas y la manera en que recabas y tratas datos personales. Hasta esa fecha el RGPD será de plena aplicación.

Hoy puede ser un buen momento para ver si cumples con esa nueva normativa.

También, está en trámite el Anteproyecto de la nueva Ley Orgánica de Protección de Datos, pues la LOPD vigente hasta ahora y el reglamento que la desarrolla, pasarán a mejor vida. Dicha nueva Ley Orgánica de Protección de Datos matizará algunos aspectos del RGPD, pero no olvides que el RGPD es de aplicación directa en el territorio de la Unión Europea.

El 30 de octubre, mientras escribíamos el post con Nando, llegó una nueva comunicación de Mailchimp:

Para los que no andéis a buenas con el inglés:

El día 24 de octubre Mailchimp anunció un cambio automático en todas sus cuentas. Éstas pasaban a single opt-in por defecto. El 30 de octubre, echaron marcha atrás para las cuentas alojadas en la Unión Europea. El el aluvión de críticas recibidas fue inmenso. En el post te cuento más en detalle en qué te afecta este cambio.

Qué es el doble opt in y porqué es importante para cumplir la LOPD en Mailchimp?

Las palabras “doble opt-in” y “single opt-in” se refieren al proceso que siguen tus suscriptores para confirmar que quieren ser parte de tu lista. En un caso deben confirmar por correo y en el otro no. En esta tabla te muestro los pasos de los dos procesos

El single “opt-in” es más inmediato y puede parecer más práctico. Pero si no lo tienes bien configurado, puedes tener problemas con la protección de datos personales.

¿Qué tiene que ver esto con la normativa en materia de protección de datos?

Mailchimp, al igual que cualquier otro proveedor de servicios en la nube, no es más que una herramienta que te sirve para crear campañas de mail marketing, y muy útil, ¿verdad?.

No obstante, no pienses que como usas Mailchimp, los datos personales que recabas son de Mailchimp y debe ser Mailchimp la que se preocupe de cumplir con la legalidad. Nada más lejos de la realidad.

Tú recabas datos a través de los formularios de registro de tu web, y tú tomas las decisiones de lo que haces o dejas de hacer con los datos de los usuarios de tu web, eres el/la Responsable de Tratamiento.
Mailchimp, en el caso que nos ocupa, no deja de ser un mero Encargado de Tratamiento, que por supuesto, tiene acceso a tus listas de usuarios, pero  únicamente usará esos datos personales para las finalidades de su servicio.

Como Responsable de Tratamiento, estás obligado/a  a tener firmado un contrato con los Encargados de Tratamiento y es tu responsabilidad asegurarte de que los mismos cumplen con los requisitos que les exige el RGPD.

¿Y el “doble opt in” te ayuda a cumplir con la normativa de protección de datos?

Tener configurado el “doble opt in”, por sí solo, no es sinónimo de cumplir con el RGPD.

Está claro que el “doble opt in” nos sirve para verificar la identidad. Y así asegurarnos de que aquellos que se suscriben a nuestro blog o se registran en nuestro e-commerce son quiénes dicen ser. Pero si no establecemos otras funcionalidades, no estaremos cumpliendo con el RGPD.

Entonces, ¿Qué debemos hacer?

Para poder tratar datos personales debemos disponer de una base jurídica de tratamiento. Y te recordamos que  la dirección de correo electrónico es un dato personal,

Esto suena muy técnico, vamos a detallarlo:

¿Qué es la base jurídica de tratamiento?

Sería algo así como la justificación que tenemos para poder recabar, almacenar, organizar, estructurar, utilizar, comunicar, etc. datos personales. Las bases jurídicas más usuales para ti serían:

  • El consentimiento
  • La ejecución de un contrato de los servicios que ofreces al usuario
  • El interés legítimo.

Si nos centramos en el consentimiento, el mismo debe cumplir las siguientes condiciones. Así evitaremos problemas con la Agencia Española de Protección de Datos:

  • Debe ser una declaración o clara acción afirmativa: podría ser, por ejemplo, el marcado de una casilla o varias en las que se expresen las finalidades al tratamiento.
  • Informada: poniendo a disposición del usuario la política de privacidad y que en la misma se contenga la información requerida por el RGPD
  • Inequívoca: Que no haya duda (de nuevo la casilla de aceptación es la mejor solución)
  • Específica: Para cada una de las finalidades de tratamiento que vaya a realizar el Responsable de Tratamiento (El titular de la Web). Por ejemplo: Si se van a realizar perfiles ten en cuenta que: Se van a ceder datos a terceros. Y se van a remitir comunicaciones comerciales. Por eso, habrá que disponer una casilla en la que el usuario declare haber leído y aceptar la política de privacidad. Otra casilla en la que autorice la cesión de datos a terceros. Otra casilla en la que acepte la realización de perfiles con sus datos. Y otra en la que acepte la remisión de comunicaciones comerciales.
  • Libre: No se puede condicionar la contratación de un producto o servicio a que el usuario acepte todas las casillas anteriormente mencionadas.

¿Qué cambios necesitas en Mailchimp para cumplir con la normativa de protección de datos?

Aunque contrataras a un abogado en su momento y pienses que lo tienes todo resuelto, puedes estar equivocado. Quizá deberías contactar con él de nuevo y que revise si cumples con el nuevo RGPD. Puede que a partir de mayo de 2018 ya no sea necesario dar de alta los ficheros ante la AEPD. Pero hay muchas otras obligaciones como por ejemplo disponer de un Registro de Actividades de Tratamiento.

Si vives en el limbo legal, pero recabas datos de sucriptores, clientes, usuarios, etc., te estás arriesgando a cuantiosas indemnizaciones. Si no sabes del tema, busca ayuda profesional y contrata un abogado especialista

Lo que deberías hacer es implementar tus formularios de mailchimp con casillas de aceptación de la política de privacidad. Añadiendo además las finalidades para las que vayas a emplear los datos que recabas. Es decir, casillas visibles en los formularios de suscripción de tu web. De este modo cumples sin importar que tipo de opt in estés usando.

Para ver el vídeo de pasos detallados sobre cómo configurar las casillas en tus formularios puedes darle al play:

¿Qué pasa si tu diseño o plantilla no permite añadir las casillas de verificación a los formularios?

Puedes usar el  “doble opt- in”: es una solución alternativa, pero que nos gusta menos que las casillas de aceptación:

El usuario de tu web introduce su correo electrónico y añades un texto que diga: “Al introducir tu correo y darle al botón enviar estás aceptando nuestra política de privacidad”. En ese texto debe establecerse un enlace a la política de privacidad. Y en este texto debemos proporcionar toda la información que el RGPD exige.

Además, en el mail de confirmación, debes incluir un texto que diga: “Al confirmar tu dirección, estás aceptando nuestra política de privacidad”. Consignando de nuevo un enlace a esa política de privacidad.

Así, entendemos que se trata de un consentimiento mediante una clara acción afirmativa, que permite un consentimiento inequívoco, libre, informado y específico.

Lo que no permite esta solución alternativa es dar un consentimiento “granulado” para diferentes finalidades de tratamiento (cesión de datos a terceros, realización de perfiles, transferencias de datos internacionales), porque con el nuevo RGPD ya no vale ponerlo todo en la política de privacidad y que el usuario la acepte sin leerla.

¿Se puede recabar el consentimiento con “single opt- in» sin casillas de verificación?

Esta combinación no es posible. Si no puedes añadir las casillas de aceptación, debes usar “doble opt- in”. (Tal como te hemos explicado en el apartado anterior).

El uso del “single opt- in” te obliga a incluir las casillas de aceptación al formulario. Ten en cuenta que al usar esta configuración de Mailchimp pierdes “control”. Ya no sabes  si el que se suscribe es el verdadero titular del correo electrónico. Esta configuración permite que alguien suscriba a nuestra newsletter a otra persona sin su permiso. Ahí corremos el riesgo de que alguien nos pida explicaciones. Y en el peor de los casos acuda a la AEPD.

Recuerda que al usar el “single opt- in”, perdemos la comprobación de identidad. Y además, también, dejas la puerta abierta a los registros de bots automáticos a la caza de direcciones de correo. Estos bots podrían llenar tu Mailchimp de direcciones inútiles que solo distorsionarán tus estadísticas.

En resumen, los de Mailchimp han intentado ser más ágiles. Pero que esa agilidad no haga que te olvides de las obligaciones que te corresponden como responsable de los datos que recabas a través de tus formularios.

Actualización 2019: Debido a los cambios en la versión gratuita de Mailchimp en Mayo de 2019, es posible que la versión gratuita ya no te sirva. Si estás buscando alternativas, aquí tiene 8 alternativas valoradas una a una para que puedas elegir la que mejor encaja contigo

27 comentarios en “Cumplir con la normativa de la LOPD en Mailchimp”

  1. Hola Alba. muchas gracias por este post, es muy clarificador. De todas formas, sabes si Mailchimp va a estar al día con la RGPD, por lo que hace referencia al almacenamiento de los datos de nuestros clientes en sus bases de datos? Según tengo entendido, sus servidores están en Estados Unidos, y la RGPD dice explícitamente que los datos de los miembroes de la Union Europea se deben almacenar en la Unión Europea. Tienes alguna información más detallada y como podemos capear este problema? Muchas gracias de antemano.

    1. Hola Roser,
      Gracias por tu pregunta. Voy a pedirle a Nacho que aporte su visión más experta :) pero después de la aprobación del Escudo de Seguridad, la UE aprueba el intercambio de datos con USA porque lo considera suficientemente seguro para los datos de los Europeos. Te dejo el enlace oficial de la publicación de la uniónhttp://europa.eu/rapid/press-release_IP-16-2461_es.htm.
      Hasta donde yo sé, Mailchimp se está preparando para cumplir con el RGPD para Mayo 2018. Mailchimp no puede prescindir del mercado europeo, así que seguro que harán lo que haga falta para cumplir (sea mover servidores a Europa). Al igual que con el tema del puerto seguro, yo te recomendaría no entrar en pánico con el tema. Hay empresas y competidores de Mailchimp que juegan muy bien el «juego del miedo» y aprovechan cada cambio legal para captar clientes.
      Lo que sí es muy importante es que recabes el consentimiento correctamente, como te explicamos en el artículo, porque sin eso sí que podrías tener problemas. Espero que te ayude!

  2. Hola Alba, faltaría añadir el parámtro «required» al checkbox en el código HTML del formulario, para que sea obligatorio cumplimentarlo, ya que en caso contrario sería equivalente a que el usuario no ha aceptado la política de privacidad y tendríamos que filtrar la lista para no enviar la newsletter.

    Un saludo,

  3. Muy buen post Alba, ¡enhorabuena! Qué opinas de, respecto a la doble capa informativa, la primera que se debe a añadir a la vista en los formularios, ¿si no se puede añadir por restricciones de diseño?¿en qué casos sería aplicable esto? Si no se pone en el formulario dicha capa pero si en la web y en el formulario enlace, ¿sería legal? Me gustaría saber tu opinión sobre este tema.

    Muchas gracias de antemano,
    ¡Un saludo!

    1. Hola David
      Lo importatne para la LOPD no es donde se pone la información sino que puedas demostrar que has recabado el consentimiento de la manera correcta, tal como explica Nacho en el artículo. Debes poder demostrar que la persona que ha dado su consentimiento tenía acceso a toda la información sobre como se iban a tratar sus datos antes de consentir (idealmente).
      Las restricciones de diseño, pueden ajustarse para permitir un enlace a una página con toda la información. consúltalo con tu diseñador, pero ese ajuste te podría ahorrar problemas a futuro.
      un abrazo y gracias por comentar!

  4. Buenas, estaba pensando en hacer un envío masivo de currículums, y mailchimp me facilitaría mucho el tema. Pero me da miedo tener algún problema por incluir los emails de todas la empresas en mi cuenta de mailchimp. Solo voy a hacer un envío, no van a recibir nada más, pero, claro, creo que a temas legales… la puedo liar un poco. ¿Qué me recomiendas hacer?

    1. Hola Julia

      Gracias por tu pregunta. Si cargas los mails (que son datos personales) de los contactos de RRHH de todas las empresas que te interesen, técnicamente estás construyendo una base de datos con datos personales. No soy abogada especialista, pero técnnicamente, si solo vas a hacer un envío quizás te de menos problemas enviarlo desde tu mail y usar alguna extensión como Streak para tener la trazabilidad de lectura del correo.
      Si es un solo envío, no te lies en generar una base de datos que a la larga te pueda dar problemas.

      un abrazo
      allba

  5. Jose Carlos Barrera

    Hola Alba, Gracias por tu info; es buenisima tu página. Yo tengo idea de montar un blog con novedades de coches que vayan saliendo al mercado y a los usuarios que se interesaran por ellos, quería mandarles su contacto a las marcas, y cobrarles por cada lead. Al final eso es una cesión de datos, verdad? Que casillas tendría que poner en mi blog para que rellenara el usuario y yo cumpliera con la RGPD? Muchas gracias Alba

    1. Hola Jose Carlos
      Estoy preparando una actualización del post con las adaptaciones que está haciendo mailchimp, pero en tu caso, te recomendaría que te pusieras en contacto con un abogado especializado como Nando, porque para ceder datos hay que tener todo el tema legal bastante más atado que para tratar los datos. Tu negocio se basa en tener una gran cantidad de interesados que te den permiso para ceder sus datos. Si lo estás valorando, asesórate antes de invertir en tecnología y ten una cláusula de tratamiento de datos escrita por un experto. Tendrás que pensar cómo tratar a aquellos que estén interesados en la información de los coches pero no te permitan la cesión de datos. Quizás puedas montar una secuencia en Mailchimp en función del tipo de coche y enviarles las ofertas disponibles?
      Siento no darte una respuesta clara, pero en temas legales, hay que asegurarse.
      una abrazo

  6. Hola,

    He leido esto en internet, no se que de cierto tiene:
    la AEPD ha dado una respuesta rápida y concreta acerca de este asunto.

    En primer lugar, la agencia incide en que los contratos de la empresa MailChimp están escritos en inglés. Por ello, según las nuevas exigencias que el RGPD impone para la validez del consentimiento, esto podría ser una traba.

    La agencia expone que el consentimiento de aquellas personas que no tienen un total entendimiento de este idioma podría hacerse de manera infundada y sin conocer de pleno todas las implicaciones.

    Por otro lado, en la ley de España se requiere que todos los documentos que se entreguen en un órgano administrativo estén traducidos al idioma español. Algo que, en el caso de MailChimp, tampoco se cumple.

    En segundo lugar, la agencia arguye que MailChimp no acredita su firma en ningún momento a través de ninguno de los medios válidos para ello. Por tanto, por este motivo también se consideraría ilegal trabajar con esta empresa para gestionar el email marketing de compañías españolas.

    1. Hola Eva
      Este articulo fue escrito antes del vencimiento la moratoria del RGPD del 25 de este mes. Estoy preparando una actualización, pero hay que esperar que Mailchimp se adapte del todo para valorarlo. De momento el mes pasado ya pusieron al alcance de todos los usuarios el consentimiento desglosado. El texto por defecto está en inglés pero es fácilmente modificable para adaptarlo al texto que te haya facilitado tu abogado o especialista. A finales de mes, publicaré el nuevo vídeo sobre como realizar estos cambios.
      No soy una experta legal en lo que dice la nueva ley, así que en caso de duda, te recomendaría consultar con un experto, porque no es lo mismo usar mailchimp para guardar el correo y el nombre de los suscriptores de mi blog, que usar Mailchimp como base de datos de candidatos en una multinacional de RRHH donde se guardan muchos más datos y más complejos de gestionar. Creo que para las empresas más grandes la ley obliga a tener una figura llamada «encargado de datos» que Maichimp seguro que no puede desarrollar.
      Como dije hace un tiempo cuando se derogó el Puerto Seguro, no hay que entrar en pánico. Hay empresas locales de plataformas de email marketing que juegan muy bien esa carta. Mailchimp no puede permitirse perder de golpe el mercado europeo entero. Si tienes tu base de datos en mailchimp y te funciona bien, no te obligues a una migración costosa sin consultar con un especialista que mire los datos que guardas y te de una valoración personalizada.
      Un abrazo
      alba

  7. hola Alba, muy buen articulo y justo como anillo al dedo.
    tengo una cuenta de mail chimp q fue bloqueada por no cumplir con sus politicas.
    no se exactamente cual, porque enviamos mailings a personas que se suscribieron en nuestro sitio web. Son listas creadas desde hace bastante… se renuevan cada 3 meses. Pero hoy me he desayunado con esta noticia. Me puedes decir como cumplir con los requerimientos de mail chimp con listas existentes? soy de argentina. Gracias Miles! slds

    1. Hola Melisa
      En mi experiencia, Mailchimp es muy conservador con la tasa de rebote. Es decir, si tienes listas con muchos suscriptores con mails incorrectos que rebotan o muchas denuncias de «spam» te bloquean la cuenta porque los problemas de un usuario afectan a la capacidad de entregar los mails de otros. Has visto si tienes tasas de rebote muy altas? Si son listas antiguas, como comentas, igual puedes tener muchos mails no válidos y eso es motivo de cancelación de la cuenta. Te han cancelado o suspendido el envío? Si tienes solo suspendido el envío puedes entrar a las listas y ver las tasas de rebote y de mails inválidos. Eso te puede dar una pista. Si son mails recolectados con un formulario de mailchimp, prueba a poner un recaptcha o double opt-in para evitar mails de spam en tus cuentas. Eso debería ayudar.
      Un saludo

  8. Hola Alba.

    Mi caso es más bien el contrario. Recibo una newsletter a la que nunca me suscribí, sencillamente porque el dueño de la misma decidió utilizar mi correo para ese fin, tras un sencillo intercambio de emails que habíamos tenido previamente. Nunca he sido consultada, ni ninguna he dado mi consentimiento. He pedido por correo varias veces mi baja de esa lista. También, hice uso del enlace a pie de página para eliminar mi suscripción, sin éxito. ¿Qué documentación me debería ofrecer para confirmarme que no solo me ha eliminado de la lista de correos, sino también de su base de datos?

    Gracias. Un saludo.

    1. Hola Maria

      Este es un tema más legal que técnico. Por lo que me cuentas seguramente esta persona te tiene en varias listas y aunque te des de baja en una, sigues de alta en las otras. De hecho el nuevo RGPD entró en vigor para protegernos contra abusos de este estilo. Quizás deberías contactar con un abogado especialista para ver si quieres emprender acciones legales. (a veces solo con la amenaza, ya da resultados ;) los datos de contacto de esta persona o empresa deberían estar en tu enlace de política de datos.

      un abrazo

  9. Destrucción de documentos

    Es una buena información el saber que vale la pena saber. Especialmente Mailchimp es una herramienta que recopila muchos datos personales y obviamente es bueno que avise con comunicado así. Un abrazo y gracias!!

  10. Muchas gracias por vuestra información! Tengo una duda técnica, creo que no se ha respondido. Antes de entrar en vigor la GRPD y de que Mailchimp pusiera sus campos nativos para la aceptación en sus formularios, nosotros nos las ingeniamos para meter un checkbox para recoger si la gente quería recibir información o si por el contrario No queria. Ahora tenemos esta información y me gustaria:
    – Los que dijeron que no querían recibir información, los quitaremos de la lista de información comercial pero los mantendremos en la de información corporativa.
    – Los que no dijeron nada, no les enviaremos información comercial.
    – Los que dijeron que sí, son los que queremos mantener. Para ello, me gustaria assignar-les de forma masiva el campo nativo de RGPD, y tenerlo todo «bien» puesto según Mailchimp.
    Sabéis si se puede hacer esta actualización masiva?
    Muchas gracias de nuevo!

    1. Hola Roser,
      Puedes filtrar a los que te han dado permiso y asignarlos de manera masiva a un grupo. A la hora de mandar mails solo mandas la información a un grupo concreto (por ejemplo info comercial o info corporativa). El mismo usuario puede estar en múltiples grupos, de modo que no tienes que duplicar información.
      Si quieres actualizar la información, puedes probar a importar un CSV solo con el campo de RGPD y marcar la opción «actualizar» de modo que no duplique los contactos ino que actualice solo ese campo. También podrían combinar las listas. Depende mucho de como tengas estructuradas las listas y los contactos en tu mailchimp. Si quieres mándame un mail y lo comentamos más en detalle.
      Un abrazo

  11. Hola Alba,

    Soy Núria y trabajo en una consultoría en el departamento de marketing.

    Ahora quiero implementar mailchimp para enviar Newsletter a los clientes, pero previamente ya habian firmado la LOPD , marcando la X y firmar conforme quieren dar sus datos para enviarles información.

    Entonces, ¿ Si tengo el consentimiento no haría falta nada mas? Como sabe Mailchimp que tengo los documentos firmados?

    1. Hola Nuria

      Mailchimp no lo sabe. De hecho cuando importas los contactos, te obliga a marcar un check de «doy fe de que tengo la autorización de estos contactos para mandarles noticias». Lo que necesitas es poder demostrar que tienes este consentimiento en caso de una denuncia o inspección. Si lo tienes, no necesitas más (hasta donde yo sé, que tampoco soy abogada especialista, pero me topo con esto todos los días). Siempre está bien mandar una notificación a los clientes para comunicarles que a partir de ahora recibirán una newsletter por si quieren no recibirla.
      Animo con Mailchimp y sus cambios!!
      alba

    1. Hola Leidres

      Al combinar listas debes asegurarte de que las dos listas tienen los mismos campos.Imagina que tienes una lista con nombre y apellidos en dos campos diferentes. Y la combinas con una lista que tiene solo «nombre completo», el campo «apellido» se perderá porque Mailchimp no tiene donde ponerlo. Lo mismo con los permisos. Deben estar activados y configurados 100% iguales.
      De todos modos yo te recomiendo importar los suscriptores de una lista a la otra (descargar y cargar) porque de este modo te permite detectar estos problemas y crear campos nuevos si los necesitas. Tiene menos peligro de borrado de datos.
      Un abrazo

  12. Hola, Alba!

    Muchas gracias por el post, súper interesante!

    Te quería preguntar si a día de hoy es seguro utilizar Mailchimp de acuerdo con la LGPD.

    Muchas gracias!

    1. Hola Maria Joana

      Mailchimp es tan seguro en tanto que cumple con los protocolos de seguridad acordados entre la UE y EEUU. Lo que sí es cierto es que la nueva normativoa RGPD es menos «tajante» que la LOPD así que el cumplimiento depende más de cómo lo pones en marcha que de la herramienta en sí. La absoluta «seguridad» hoy es día solo existe en papel en tu cajón :) Cualquier dato digital es por naturaleza vulnerable, pero eso no quiere decir que no tengas que protegerlo, claro!
      Un abrazo
      alba

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

¿Sientes que cobras lo que vales?

APRENDE A PONER PRECIOS A TUS SERVICIOS

Taller práctico

25 de septiembre