Cómo cumplir el RGPD y la LOPDGDD con MailChimp

Lo más importante para cualquier empresa o profesional es contar con una lista de suscriptores a los que poder enviar comunicaciones comerciales o newsletters.

Llegar a conseguir esa lista es muy costoso pero, una vez que la tenemos, debemos protegerla adecuadamente, ya que constituye nuestro mayor activo. Tanto el nombre como la dirección de correo electrónico son datos personales por lo que debemos tratarlos de acuerdo a lo establecido en la normativa de Protección de datos.

Por ello, aquí os voy a hablar de cómo cumplir el RGPD y la LOPDGDD usando MailChimp.

Protección de datos con MailChimp

En caso de que recopiles datos personales de usuarios a través de tu página web o blog para enviarles después newsletters o boletines informativos a través de MailChimp estás sujeto a la normativa de Protección de datos al realizar un tratamiento de datos personales.

Las ventajas que MailChimp ofrece de cara al cumplimiento del RGPD son:

Posibilidad de validar correos electrónicos de usuarios, algo a lo que obliga el RGPD.
Incluye la opción de facilitar al usuario un medio sencillo para solicitar la cancelación de sus datos y la oposición al tratamiento.
Impide el envío de correos a varios destinatarios sin copia oculta, algo que vulnera la privacidad de los usuarios y que puede ser sancionado según el RGPD.

A la hora de realizar tus campañas de email márketing debes asegurarte de usar MailChimp de forma segura y que tu página web cumpla los requisitos exigidos por la ley de Protección de datos.

Medidas para cumplir el RGPD

Cuando uses MailChimp debes verificar que cumples los siguientes requisitos obligatoriamente.

Registro

Antes de entrar en vigor el RGPD, si ibas a realizar un tratamiento de una lista de correos electrónicos, debías inscribir antes el fichero en la AEPD. Ahora este requisito ya no es necesario. Pero, en su lugar, debes llevar en tu propia empresa o negocio un registro de actividades de tratamiento. En ese registro debes especificar los tratamientos que realizas, incluyendo esa campaña de email márketing.

Tienes más información sobre el Registro de actividades de tratamiento en este post redactado hace unos meses.

Deber de informar

En cualquier formulario de suscripción, de contacto o de comentarios donde se recoja información debes informar a los usuarios sobre quién es el responsable de tratar sus datos (responsable de la web o blog). Para ello tienes que indicar todos sus datos personales y de contacto.

Igualmente debes informarles sobre la finalidad de esa recogida de datos, es decir, qué vas a hacer con sus datos. Y si vas a ceder los datos a algún tercero (en este caso MailChimp es un tercero ajeno a la empresa que va a tener acceso a esos datos personales).

Además tienes que establecer un procedimiento sencillo a través del cuál el usuario pueda ejercer sus derechos de rectificación, acceso, cancelación o limitación del tratamiento. Para ello lo mejor es incluir un texto legal al pie del formulario o insertar un enlace a la política de privacidad de la web.

Consentimiento

Para recopilar y después tratar todo tipo de datos personales es necesario el consentimiento expreso del afectado, no es suficiente solo con informar. Debes pedirle su autorización para manejar o guardar sus datos personales.

Para ello tendrás que incluir una casilla en los formularios donde el usuario facilite sus datos indicando que acepta la política de privacidad y las condiciones de uso de la web. Ese texto debe incluir un enlace a la página donde se encuentre esa política de privacidad y condiciones de uso y tiene que estar desmarcada por defecto. Si el usuario no lo marca expresamente, no puedes tratar sus datos.

También debes solicitar el consentimiento a los contactos anteriores a la entrada en vigor del RGPD. Para ello puedes enviarles un email con un enlace a la política de privacidad de la web para que acepten ese tratamiento.

Transparencia

Al enviar una comunicación comercial o newsletter debes identificar claramente al remitente y a quien envía ese email. En el correo debes incluir el texto legal indicando los derechos que pueden ejercer los usuarios y cómo solicitar la baja de esa suscripción. MailChimp dispone de un mecanismo sencillo para solicitar esa cancelación.

Política de privacidad de MailChimp

En la política de privacidad de MailChimp se avisa de que los administradores del servicio pueden leer los boletines o correos enviados a tu lista de suscriptores. Te informan de que si tienes que enviar una información confidencial no uses el servicio de MailChimp.

También se informa de que en ocasiones pueden revisar las campañas de márketing enviadas por las entidades a las que prestan el servicio para comprobar que se adaptan a sus condiciones de uso. Y tienen un software que ayuda a detectar campañas de correos electrónicos que infringen esas condiciones de uso. Esas campañas pueden revisarse por los propios trabajadores o por terceros externos contratados para ello.

Respecto a la confidencialidad, advierten de que no se envíe por email nada que no se escribiría en una postal.

MailChimp indica que las listas de suscriptores se almacenan en un servidor seguro y no se venden bajo ninguna circunstancia.

La plataforma de gestión de correos tampoco usa los datos de esas listas ni los comparte con ningún tercero, salvo que sea requerido por una ley.

Lo principal que debemos tener en cuenta es que MailChimp no está creado para enviar información confidencial o privada. Debes informar a tus usuarios sobre la política de privacidad y términos de uso de esta plataforma.

Y tú, ¿usas MailChimp para tus campañas de email márketing? Pues espero que tengas en cuenta estos requisitos para adaptarte a la normativa de Protección de datos.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.