Las cosas no son siempre un camino de rosas para los marqueteros de correo electrónico. Existen muchos obstáculos, tanto tecnológicos como legales que hay que salvar para hacer una buena campaña de email marketing. En esta entrada voy a tratar, a través de la política de privacidad de Mailchimp, de los vericuetos de la legislación presente y futura en materia de protección de datos personales. Especialmente si Mailchimp cumple con la LOPD. Puede no parecerte un tema igual de atractivo que otros que trato en mi blog, pero te aseguro que es igual o más importante, ya que se trata de evitar un gasto excesivo para ti o tu empresa en caso de negligencia en esta materia.
Mailchimp ha actualizado su Política de Privacidad, así como también han añadido una declaración sobre cookies. Los principales cambios, o al menos los que en mi opinión más te pueden afectar son los siguientes:
- Han añadido disposiciones para cumplir con el EU-US Privacy Shield Framework y hacerlo mucho más entendible para los usuarios.
- Han clarificado lo concerniente a la información que recopilan. Esto incluye dejar bien claro la diferencia entre la información que el usuario aporta voluntariamente a Mailchimp y la que éste recopila de forma automática. A mi entender la voluntariedad de la transmisión de la información por parte del usuario se refiere no sólo a un acto voluntario, sino además consciente y explícito.
- De lo anterior se deducen modificaciones en la política de privacidad de Mailchimp acerca de cómo se usa (y cómo no) la información que recopila de los usuarios.
Es importante que seas consciente de que cualquier acción de marketing digital conlleva una transmisión de información que requiere de un tratamiento específico. Más allá de lo que debes hacer con los datos de carácter personal que manejas (dar de alta la lista, declarar responsables, etc.) y que es obligatorio para cualquier negocio, tanto online, como offline. Creo que es conveniente que tengas en cuenta cuáles son las transmisiones básicas de datos que se producen en Mailchimp (y que son extensibles a prácticamente cualquier otro proveedor de email marketing). Esto te permitirá tener bien informados a tus suscriptores y a los usuarios de tu web acerca de cuál es la relación que van a tener contigo a través de este proveedor de email marketing.
Información que recoge Mailchimp
Los tipos de información más importante en este apartado son los siguientes:
Información que aportas voluntariamente a Mailchimp
Cuando te registras, haces una consulta a un comercial de Mailchimp, posteas en su blog, integras a este proveedor en otros servicios tuyos (como, por ejemplo, tu tienda online) o cualquier otra forma de comunicación, estás dando información voluntariamente a Mailchimp que ellos recopilan. Esta información puede incluir tu nombre de suscriptor, dirección física, email, dirección IP, número de teléfono, número de tarjeta de crédito… En definitiva, cualquier información que aportes de manera voluntaria y consciente (esto último lo aporto yo, pero me parece importante reseñarlo). Lo más importante es que, mediante estas acciones, consientes que Mailchimp recopile, trate, use y transfiera esta información a los Estados Unidos.
Información que Mailchimp recopila de forma automática
Es similar a la información que tú mismo puedes recopilar en tu página web o blog a través de Google Analytics: páginas que visitas dentro de las webs de Mailchimp, uso de sus servicios y el navegador que utilizas. A partir de aquí se pueden incluir también datos como tu dirección IP, tu sistema operativo, etc.
Información de listas e emails
Esta parte es quizás más delicada porque lo que viene a decir Mailchimp es que puede acceder a los datos que contienen tus listas de distribución y los emails que mandas. Sin embargo, este acceso está limitado. Si uno de tus suscriptores utiliza la opción de reenviar uno de tus correos a través del link de Mailchimp para este propósito, la dirección de correo del destinatario no será almacenada en ningún lugar. La única estadística (o dato) visible en este caso será el número de veces que ese email ha sido reenviado.
Conviene aquí hacer un inciso acerca del uso que Mailchimp hace de la información que hay en las listas de distribución que creas al utilizar sus servicios. En primer lugar, los datos de tus suscriptores nunca serán vendidos a terceros por parte de Mailchimp.
La información incluida en estas listas no será nunca utilizada para:
- Cobrar dinero que debamos.
- Enviarnos mensajes de alerta del sistema.
- Comunicaciones acerca de nuestra cuenta.
- Envíos de información acerca de promociones.
Lo que sí que hace Mailchimp es reservarse el derecho de informar a los proveedores de correo electrónico u organizaciones anti-spam de las prácticas abusivas o ilegales que se lleven a cabo. Esto es normal, ya que es un incumplimiento de sus condiciones del servicio y además les permite dar el servicio en las mejores condiciones mejorando sus tasas de entrega.
Uso de la información personal
En este caso de lo que se trata es de explicar los casos en los que Mailchimp puede hacer uso y revelar información personal.
Promocionarte sus servicios
Por ejemplo, si al visitar su página dejas información personal, pero no te registras, pueden enviarte un email para invitarte a registrarte. También pueden enviarte información para ofrecerte otros servicios además de los que ya estés usando con Mailchimp.
Es importante que sepas que puedes declinar el envío de estos emails y dejar de recibirlos, si bien por defecto te serán enviados. Es decir, que si no haces nada, es como si aceptaras ese trato de tus datos personales.
Cobrar el dinero de los servicios que usas
Mailchimp puede enviarte correos y acceder a tu información de pago para recordarte que debes hacer un pago o enviarte una factura de un servicio que ya hayas abonado.
Otros usos
Envío de alertas de funcionamiento de los servicios de Mailchimp o actualizaciones de los mismos, correos de soporte para incidencias, etc.
Aquí es importante destacar un asunto que ha sido muy polémico durante el último año y que está en la raíz de las dificultades para alcanzar un acuerdo en materia de protección de datos entre Estados Unidos y la Unión Europea. Mailchimp puede revelar tus datos personales a las autoridades estadounidenses a requirimiento de éstas. Esto es una cuestión que está prohibida por el ordenamiento jurídico, por lo que es importante que sepas que si tienes suscriptores que son ciudadanos de la Unión Europea (que es muy probable si estás leyendo este blog), deben estar informados de que sus datos pueden estar almacenados en un servidor que no cumple con los estándares comunitarios en materia de protección de datos. Y ojo con esto que hay mucha polémica al respecto. De hecho, es más que probable que leas por ahí que esto no es así. No es mi opinión y, de hecho, la política de privacidad de Mailchimp es muy clara en este sentido.
Datos recopilados por y para los usuarios de Mailchimp
Aquí radica la madre de todas las polémicas. Este apartado viene a complementar lo que ya he introducido en el párrafo anterior.
En primer lugar, y esto es una cuestión común tanto a la legislación norteamericana como a la española, el responsable de los datos de los suscriptores eres tú y no Mailchimp. Mailchimp no tiene contacto directo con tus suscriptores. Por ello, es importante que tengas el permiso apropiado para recopilar los datos qye tus suscriptores van añadiendo a tus listas de suscripción.
Esto implica que, una vez que Mailchimp procesa esos datos para los que tú les has autorizado por el mero hecho de darte de alta y usar sus servicios, puede transferir esos datos a terceras empresas que ayudan a Mailchimp a dar un mejor servicio.
Si uno de tus suscriptores no quiere que sus datos sean tratados por estos terceros habilitados por Mailchimp, la única opción que tiene es la de darse de baja de tu lista de suscriptores.
Además, Mailchimp vuelve a recalcar que la información estará en sus servidores el tiempo necesario para cumplir con sus obligaciones legales, lo cual es un eufemismo para no tener que decir que pueden transferir los datos que poseen (tuyos y de tus suscriptores) a las autoridades norteamericanas.
¿Cumple Mailchimp con la LOPD?
Lo cierto es que el acuerdo entre Estados Unidos y la Unión Europea se encuentra en punto muerto. Como sabéis, yo hace tiempo cambié mi proveedor de email marketing a GetResponse. Junto con las empresas españolas, es la única que me garantizaba un cumplimiento legal en materia de protección de datos.
Las cosas se van a poner bastante feas para el marketing digital en este sentido. Las autoridades europeas tienden cada vez más a que los ciudadanos seamos conscientes de que nuestros datos personales son un patrimonio de un gran valor y que como tales debemos tratarlos.
Esto se ha traducido en un reglamento (ENLAZAR Y NOMBRAR) que es mucho más restrictivo que cualquier norma europea existente hasta este momento. Incluso mucho más restrictivo que la actual normativa española (la LOPD), que es una de las más restrictivas y proteccionistas del mundo. Si el legislador español sigue con su costumbre, la trasposición obligatoria de este reglamento en el año 2018 implicará nuevamente ser pioneros en la protección de los datos de carácter personal de los ciudadanos.
El resumen del resumen del reglamento no es otro que el de :
- Endurecimiento de las sanciones. Que ya son de 10 millones de euros en el primer tramo.
- Posibilidad de pedir daños y perjuicios al infractor por parte del perjudicado (y no sólo multa).
- Pedir consentimiento no sólo para la suscripción, sino para el posterior tratamiento de datos. Y esto te afecta muchísimo.
- Que este consentimiento sea claro y sea explícito. Incluso hay que adoptar medidas para poder demostrar que ese consentimiento se ha producido y cuándo y cómo.
¿Puedes seguir usando Mailchimp? Por poder, puedes, incluso es posible que al final haya algún resquicio que permita su compatibilidad con el reglamento.
La guerra está abierta y veremos cómo se aplica. La AEPD todavía no se ha pronunciado al respecto.
Efectivamente, Paco.
Has tocado el tema más sensible y te felicito por hacerlo con claridad.
Los motivos que expones son los que siempre me llevan a utilizar servicios totalmente hospedados por la web y que no pasen por terceros, que pueden o no estar sometidos s diferentes jurisdicciones que la española o la europea, y que pueden tener como consecuencia que tú seas el responsable legal de acciones efectuadas por terceros con la información obtenida gracias a ti.
Pasa con muchos servicios: emailing, login social, erp´s,… y siempre he pensado que en la mayoría de casos los usuarios que integran dichos servicios ni lo piensan ni lo tienen en cuenta.
Hay que tener cuidado especialmente con las compañías con jurisdicción en EEUU porque, como sabemos, planean hacer cambios incompatibles con las leyes europeas y eso agravaría el problema que expones.
Buen trabajo.
Un saludo.
¡Muchas gracias por tu comentario, Jorge!
Lo has explicado perfectamente. Por eso mismo procuro recomendar proveedores de Email Marketing de la Unión Europea. Yo mismo utilizo GetResponse por eso.
También coincido contigo en el escaso conocimiento de lo que ocurre con sus datos por parte de los usuarios. Los «venden» demasiado baratos, ¿no crees? Precisamente el nuevo Reglamento Europeo de Protección de Datos pretende hacer más conscientes a los usuarios de este asunto. Veremos si lo consigue o no. Sería muy bueno que lo consiguiera, ya que el hacer las cosas bien se convertiría en una ventaja competitiva para las empresas que realmente respetan a sus clientes.
Un abrazo