Cuidado con mailchimp para cumplir con la AEPD

Cuidado con mailchimp para cumplir con la AEPD Agencia Española de Protección de Datos, de cara a la transferencia de ficheros a EEUU.

El acuerdo Safe Harbour que hasta ahora estaba vigente ha quedado invalidado por lo que muchas empresas y particulares debemos revisar si transferimos datos a compañías que almacenan sus ficheros en Países no recomendados.

 
En pocas palabras afecta mas en concreto a las empresas con servidores alojados en EEUU, las cuales almacenan nuestros ficheros y datos de terceros como pueden ser los datos que provienen de una lista de correo nombre y mail, normalmente pedimos información que no se considera de riesgo e informando a la agencia debidamente y creando la base de datos en el servidor de manera adaptada para la LOPDD.

He dicho Mailchimp porque es la aplicación que mas datos de tipo personal puede llegar a recolectar y almacenar de un usuario, también las newsletters tienen mas «puntos» para estar en el ojo de mira de una inspección pero en la lista de aplicaciones a parte de Mailchimp se encuentran: Google Analytics, Google Drive, Dropbox y hasta algunas redes sociales, pero la experiencia en el caso de lo que depende de Google es que intentarán solucionarlo y adaptarlo en tiempo y forma, siempre ha sido así.
Como sabemos el mailing masivo y las malas prácticas sobre spam han hecho que sea un foco de reclamación y revisión constante, no es raro recibir publi personalizada de algo que no sabemos de dónde ha venido, y durante años ha existido un mercado de compra de listas de correo que gracias a la protección de datos ha ido menguando, aunque existe.

En la página de la AEPD a parte de facilitarnos los trámites para dar de alta, modificar, anular ficheros nos explican las obligaciones y las buenas prácticas a la hora de inscribir suscriptores.

Todo esto viene derivado por una sentencia en la que se restringe la trasferencia de datos con EEUU.
El TJUE (Tribunal de Justicia de la Unión Europea) lanzó el día 6 de octubre una una sentencia el 6 de octubre de 2015 por la cuál las transferencias (de ficheros de datos) desde la Unión Europea a EEUU no pueden seguir realizándose bajo la base legal de la Decisión de Puerto Seguro (Safe Harbour). Por la cuál quedaba invalidado entre otros el acuerdo de Safe Harbour y existe un plazo recomendado hasta el día 29 de Enero, la AEPD ha matizado que no es un últimatum, para que las compañías que estén afectadas tomen medidas en conjunto con los usuarios de dichos servicios.
Aunque pensemos que no pasa nada debemos solicitar permiso expreso a al AEPD para poder seguir usando estos servicios mediante una solicitud de transferencia internacional de datos, en esa página define la figura de exportador de datos e importador de datos.
Esto lo recoge en:Nueva comunicación sobre la ejecución de la sentencia Puerto Seguro.
En la página sobre las tranferencias de datos internacionales cita una lista de países seguros con los cuales podemos trabajar sin problemas, siempre que esté dado de alta el fichero correctamente. También cita excepciones a las cuales algunos blogs o webs puede atenerse como es el ejemplo de este supuesto:

• Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.

Ceñirse a un supuesto y solicitar la validación de dicha base de datos por la AEPD, porque si no no sirve.

Conclusiones y preguntas que se me pasan por la cabeza sobre si se puede usar mail chimp:

-¿Que dice Mail Chimp de todo esto?:

Mail chimp dice en su blog lo siguiente pero esto se contradice algo con lo expuesto en la sentencia anterior:
MailChimp adhiere a los prinicipios Safe Harbor y certificamos anualmente nuestro acuerdo a las estrategias políticas suizas y de EEUU/UE. Para información detallada de los principios Safe Harbor, .
Han añadido un formulario para ajustarse a la LOPD lo cuál ayuda a facilitar y agilizar los trámites.
Debes enviar el fichero dado de alta y solicitar la trasferencia de datos igualmente y darte de alta de la misma manera, lo único que Mail Chimp te preguntará por la naturaleza del fichero para enviarlo directamente.
Esta solución esta sujeta a la validación de tu base de datos por la AEPD.

-¿Debo de cerrar mi cuenta de Mailchimp?

No hace falta, en realidad debes pedir a la agencia que te autorice a transferir datos a EEUU, según la naturaleza de tu fichero es mas fácil que te autoricen o no, piensa que cuántos mas datos de carácter personal pidas mas riesgo tiene el fichero por lo que la seguridad de la cadena de custodia debe de ser mayor.
Mailchimp no vende listas de correo ni tráfica con datos además tienen una política muy estricta respecto a la manera de obtener suscriptores.

-¿Que elementos de un blog recogen datos?

No sólo afecta a las listas de correos, si no a cualquier formulario en el cuál el usuario introduzca sus datos por ejemplo comentarios, newsletters, usuarios registrados, esas bases pueden estar gestionadas por una compañía como es mailchimp en caso de correo, los comentarios se almacenan en tu hosting, etc debes registrar esas bases de datos.
Existen mas compañías de mailing a parte de Mailchimp que operan en Europa y dentro del ámbito legal existente, te repito da de alta las bases de datos.
A ver esto asusta pero es la consecuencia normal que tiene un mal uso, seguro que os han venido a la cabeza grandes filtraciones de datos que se producen en EEUU vía fichero, recordad lo que pasó con Ashley Madison y el alcance de sus filtraciones.
Existen empresas dedicadas a esto trámites para personas como yo que odian la burocracia y os estoy preparando una entrada para hablaros de la AEPD.
Espero que no os asustéis pero hay cosas legales que hace falta saber.
Nota a 12/12/2015, Google a pedido que acepte su nuevo acuerdo respecto a política de datos, por lo que al menos ya sabemos que se están poniendo las pilas.