Las 8 principales plataformas de Email Marketing y el RGPD:
(1) Mailchimp

Queremos comenzar este artículo con una breve introducción sobre qué es el Email Marketing y cómo ha afectado el Reglamento General de Protección de Datos (RGPD) al Email Marketing.

Las empresas de Email Marketing, que trabajan con datos personales de clientes de la Unión Europea, deben ajustarse a lo previsto en el RGPD. Ahora bien ¿todas ellas lo hacen y/o lo hacen correctamente? Esto es lo que vamos a tratar de aclarar precisamente desde el blog de Knowmad Lawyer.

Las plataformas de Email Marketing que podemos encontrar en el mercado son numerosas, por lo que hemos decidido acotar este análisis a sólo 8 de ellas (las que consideramos las más relevantes).

Puesto que el análisis que hemos realizado es bastante extenso, para evitar aburriros, hemos decidido dividir su contenido en varios artículos, que iremos publicando en las próximas semanas.

En este primer artículo analizaremos cómo afronta Mailchimp, la plataforma número 1 de Email Marketing a nivel mundial, los retos planteados por el RGPD. En sucesivos artículos repasaremos también cómo lo hacen sus competidores.

Si lo deseas, puedes ir directamente al análisis de Mailchimp pinchando aquí o, si lo prefieres, directamente a las conclusiones.

El Email Marketing se ha convertido en la que posiblemente es la herramienta de comunicación, publicidad, captación y fidelización de clientes, más efectiva que existe en la actualidad. Todo lo contrario que el email marketing (mejor llamarlo spam), al que estábamos acostumbrados y que nos anegaba el buzón del correo hasta hace no demasiado tiempo.

Actualmente hay multitud de plataformas de Email Marketing, para el envío programado y personalizado de emails comerciales a diferentes grupos de personas y para la integración de formularios en las páginas web.

Por mencionar sólo algunas de las plataformas más conocidas de Email Marketing y que son las que vamos a repasar en éste y en sucesivos artículos:

Escoger entre usar una u otra plataforma de Email Marketing dependerá de las preferencias de cada usuario, en función de sus necesidades y de las propias funcionalidades que ofrecen cada una de estas herramientas.

Lo que pretendemos con esta publicación y las que la seguirán, no es hacer una comparativa entre todas ellas, a partir de sus funcionalidades, servicios o precios, sino repasar cómo afronta cada una de ellas las exigencias en materia de privacidad y protección de datos contenidas en el RGPD, analizar quiénes han hecho los deberes y quiénes deben mejorar aún en algunos aspectos, pero sobretodo facilitar que los usuarios puedan conocer con qué plataformas están mejor protegidos los datos personales de sus clientes.

Con la entrada en vigor del RGPD el 25 de mayo de 2018, las empresas y profesionales autónomos han debido contactar con todos sus clientes, para confirmar uno por uno con cada cliente, su consentimiento para seguir formando parte de sus bases de datos y ha debido conservar pruebas del otorgamiento de dicho consentimiento.

Igualmente ha habido que revisar la forma de trabajar con proveedores y terceros, en aquellos casos en que éstos puedan tener acceso a datos personales de clientes.

Además, desde la llegada del RGPD, conseguir datos de nuevos clientes y utilizarlos ya no resulta tan sencillo, ni se puede realizar de manera indiscriminada como hasta entonces. Es más, se necesita que el consentimiento del cliente se haya otorgado:

• libremente (sin condiciones)
• de manera específica (expresamente)
• de manera informada (sabiendo previamente para qué se presta el consentimiento)
• sin ambigüedad (es decir, que el consentimiento sea claro)

Esto se consigue mediante:

• Nuevas reglas de consentimiento (opt in)
• Prueba del consentimiento para los sistemas de almacenamiento (por ejemplo, a través del doble opt in)
• Procedimiento para que los usuarios puedan solicitar que se rectifiquen y/o eliminen sus datos personales

Es muy importante señalar que, desde la entrada en vigor del RGPD, dejar la casilla de aceptación marcada por defecto, NO está permitido.

Puesto que nos vamos a referir a menudo a estos dos conceptos (opt in y doble opt in) cuando analicemos las diferentes plataformas de Email Marketing, explicaremos brevemente ambos conceptos. Se trata de uno de los principales recursos que usan estas empresas para adaptar su funcionamiento al RGPD,

El opt in consiste en solicitar el consentimiento previo y voluntario de nuestros futuros destinatarios, para recibir nuestras comunicaciones comerciales.

Dicho de otra forma, mucho más sencilla:

• Para que puedas usar los datos personales de un cliente, el cliente te lo deberá haber autorizado antes.
• Tendrás que haber informado antes al cliente, sobre el uso que quieres hacer de sus datos personales.
• El cliente tiene que autorizarte expresamente.

Precisamente una manera de conseguir esta autorización expresa del cliente, es a través de una casilla de verificación en los formularios, que el cliente puede activar en señal de acuerdo (opt in).

Como os podéis imaginar, el doble opt in consiste en confirmar dos veces el consentimiento de nuestros contactos. Por lo general, la primera se realiza mediante la casilla de verificación en el formulario (primer opt in) y la segunda a través de un enlace de confirmación en el email que reciben (segundo opt in). Una vez completados estos dos pasos, queda confirmada su suscripción.

Después de esta breve explicación, pasamos a analizar (¡por fin!) cómo afronta cada plataforma de Email Marketing, las exigencias en materia de privacidad y protección de datos del RGPD.

Comenzamos nuestro análisis con Mailchimp, por ser la plataforma número 1 de Email Marketing a nivel mundial, en cuanto a número de clientes. Esto no significa que sea ni mejor ni peor que otras, sólo la más usada.

Mailchimp tiene su domicilio en Atlanta (USA), por lo que, al ser una empresa establecida fuera de la Unión Europea, su funcionamiento no se rige por el RGPD. Esto no significa que no deba cumplir las exigencias del RGPD, como encargado de tratamiento, en caso de usar datos personales de clientes a los que sí se les aplique el RGPD.

Al entrar en la web de Mailchimp, lo primero que llama la atención es que, a diferencia de otras plataformas de Email Marketing, Mailchimp no incluye un acceso fácilmente localizable, a información sobre el Reglamento General de Protección de Datos.

Entendemos que no lo hace por ser una sociedad americana, que no se rige directamente por el RPGD. Sin embargo, teniendo en cuenta que es un tema que afecta a un gran número de usuarios de Mailchimp en Europa y, además, siendo el RGPD una de las cuestiones más consultadas en internet por los usuarios de Email Marketing en general, nos parece que es un aspecto lo suficientemente importante, como para destacarlo en este análisis.

Por tanto, primer aspecto a mejorar por parte de Mailchimp: incluir un enlace directo a este tema (RGPD) en su página de inicio.

A pesar de esta dificultad inicial para encontrar información sobre el RGPD, con ayuda del cuadro de búsqueda de Mailchimp, hemos localizado la siguiente declaración de intenciones sobre su voluntad de cumplir el RGPD en su página Sobre el Reglamento General de Protección de Datos

Además de esto, Mailchimp ha incluido también un enlace a Preguntas frecuentes sobre el Reglamento de Protección de Datos, tales como:

• Configuración de los campos en los formularios de suscripción
• De qué forma se puede probar el consentimiento
• Renovación del consentimiento de los contactos actuales
• Importar contactos que hayan dado su consentimiento fuera de Mailchimp (o exportar aquellos que lo hayan dado en Mailchimp)

También ofrecen una serie de tips a sus clientes, sobre:

• la importancia de obtener el consentimiento de los titulares de datos personales, antes de poder usarlos,
• los derechos que tienen los titulares de los datos personales.
• la necesidad de revisar las integraciones de terceros, a fin de asegurarse que no chupen suscriptores ajenos, sin el consentimiento expreso de éstos.

Pero ¿será suficiente con esto?

Somos algo desconfiados y no nos conformamos con las buenas palabras, por lo que hemos decidido navegar un poco más en profundidad por la página de Mailchimp y nos hemos encontrado con lo siguiente, que parece confirmar que, en efecto, se han puesto las pilas:

Lo primero, una referencia normativa. Os prometo que es necesaria y además ¡será breve!

Según el art. 44 del RGPD, que regula las transferencias internacionales de datos personales, para que se puedan transferir datos personales a países terceros (fuera de la Unión Europea), es necesario que el responsable -en este caso, el usuario que contrata los servicios de Mailchimp- y el encargado del tratamiento -el propio Mailchimp- cumplan las condiciones establecidas en el RGPD sobre transferencias internacionales:

En relación con este artículo, la Unión Europea y Estados Unidos han adoptado el llamado Escudo de Privacidad (Privacy Shield).

Este escudo consiste en una serie de acuerdos entre la Unión Europea y las autoridades de Estados Unidos, que garantizan que las empresas norteamericanas certificadas por dicho Escudo de Privacidad, cumplen la normativa europea de protección de datos.

Es decir, a través del Escudo de Privacidad se puede comprobar qué empresas en Estados Unidos forman parte del mismo y, por tanto, cumplen unas normas de protección y tratamiento de datos personales bien definidas y aceptadas por las instituciones europeas.

En el siguiente enlace podéis consultar cuáles son las empresas certificadas por el Privacy Shield:

Empresas certificadas por el Escudo de Privacidad

Llegados a este punto, tenemos una buena noticia para vosotros...

¡Mailchimp está adherido al Escudo de Privacidad!

Al ser una empresa certificada por el Privacy Shield, se garantiza que Mailchimp cumple dichas normas de protección y tratamiento de datos aceptadas por la Unión Europea.

Mailchimp ha habilitado un Acuerdo de Procesamiento de Datos (Data Processing Addendum), que confirma que se pueden transferir legalmente los datos personales a Mailchimp, conforme al Escudo de Privacidad y al art. 44 del RGPD.

Puedes acceder aquí al Acuerdo de Procesamiento de Datos de Mailchimp.

Por tanto, cada usuario de Mailchimp, que sea responsable de tratamiento de datos sujetos al RGPD, deberá firmar este Acuerdo con Mailchimp (como encargado de tratamiento de datos), para confirmar que se cumple tanto el Escudo de Privacidad como lo dispuesto por el RGPD, en materia de transferencias internacionales de datos personales.

Hasta aquí nos está gustando lo que vemos...

Comprobemos qué más ha hecho Mailchimp para velar por los datos personales.

Mailchimp también ha introducido algunas actualizaciones en sus formularios de suscripción, para adaptarlos al RGPD. Entre otras cosas:

• Incluyen la posibilidad de configurar los formularios, para que se ajusten al contenido del RGPD.

• Permiten habilitar un doble opt in, para que los usuarios, además de confirmar el consentimiento a través de una casilla de verificación en el propio formulario, reconfirmen también dicho consentimiento posteriormente mediante un email de confirmación.

Esto nos parece todo un acierto por parte de Mailchimp y demuestra su voluntad de adaptarse al RGPD.

Además de lo anterior:

• Han habilitado casillas de verificación (checkbox), para que los usuarios puedan confirmar expresamente su consentimiento, estableciendo además la posibilidad de activar como obligatorio que se marque alguna de dichas casillas, para poder enviar el formulario.

• Incorporan una sección editable en sus formularios, de manera que puedas personalizar el texto a incluir y puedas especificar cómo se tratan los datos personales y con qué finalidad.

Aquí tenéis el ejemplo de una parte de un formulario habilitado para RGPD, que hemos creado en Mailchimp:

Y aquí la configuración que nos ha permitido crear la sección del formulario anterior:

Aquí queremos llamar la atención sobre la casilla que hemos marcado más arriba: "Require at least one option",

A la hora de configurar un formulario para que esté adaptado al RGPD, es muy importante que, la plataforma que uséis (ya sea Mailchimp o cualquier otra) os permita activar esta opción (si es que no viene directamente activada por defecto, que sería aún mejor).

Esta pestaña (Require at least one option) obliga a que el suscriptor o la persona que vaya a rellenar vuestro formulario, para poder enviarlo, deba activar necesariamente la casilla o checkbox correspondiente de vuestro formulario. En el caso del formulario más arriba, la opción "Acepto la política de privacidad y los términos y condiciones de uso de la web".

Si no existiese esta opción de activarlo como "campo obligatorio", el suscriptor podría rellenar todo vuestro formulario y podría enviarlo, sin confirmar expresamente vuestra política de privacidad, con el riesgo que conllevaría para vosotros, como responsables del tratamiento de datos.

Por tanto, nos parece que, también este aspecto, Mailchimp lo ha resuelto de manera sobresaliente.

En los Términos y Condiciones de Mailchimp encontramos (¡como era de esperar!) un apartado relativo a su Política de Privacidad.

Para nuestro gusto, la información relativa al tratamiento de datos personales conforme al RGPD, aparece regulada de manera bastante desordenada.

Por ejemplo:

• La base legal para el tratamiento de los datos personales, en el caso de pertenecer a la Unión Europea se regula dentro de la sección 5 (General Information), Apartado B,

• Todo lo relativo al Escudo de Privacidad mencionado más arriba, aparece en la Sección 5, Apartado E.

• La figura del Delegado de Protección de Datos (DPO ó DPD, según qué idioma se use) aparece en la Sección 5, Apartado I.

Sin embargo:

• Los derechos de acceso, rectificación, supresión y oposición, así como los de portabilidad y limitación, aparecen en otra sección y apartado diferentes: Sección 3 (Privacy for Contacts), Apartado B.

• Lo mismo sucede con la finalidad del tratamiento, que se regula en la Sección 2 (Privacy for Members), Apartado B.

Hubiésemos agradecido que todas estas cuestiones, que afectan a un gran número de usuarios de Mailchimp, se hubiesen regulado de una manera más clara y mejor organizada, dentro de un mismo enlace o sección.

Por tanto, después de haber analizado la web de Mailchimp y haber hecho uso de sus herramientas, éstas son nuestras conclusiones:

Este último punto entre los aspectos a mejorar nos parece especialmente relevante: como hemos comentado, en este momento, los datos personales tratados por Mailchimp están protegidos y amparados por el Escudo de Privacidad (Privacy Shield) entre Europa y Estados Unidos.

Ahora bien, hay que plantearse qué podría ocurrir con esos datos personales, si en algún momento se rompiese ese Escudo de Privacidad que actualmente los protege.

En próximos artículos seguiremos analizando cómo se comportan las demás plataformas de Email Marketing.

Por supuesto, si te ha resultado interesante y útil este artículo y no quieres perderte los que aún están por salir, puedes suscribirte para ser el primero en recibir las próximas publicaciones del blog de KNOWMAD LAWYER.

Y si tienes alguna duda al respecto o precisas ayuda legal con algún aspecto de tu negocio, ponte en contacto con nosotros.

Los artículos del blog de KNOWMAD LAWYER representan información hecha pública a título ilustrativo y, por tanto, no constituyen asesoramiento jurídico particularizado, como tampoco los comentarios y opiniones a los mismos. Por tanto, KNOWMAD LAWYER no se hace responsable de cualquier utilización que el usuario de este blog pueda hacer para tales finalidades. Si necesitas información adicional o precisas un asesoramiento jurídico personalizado, contacta con nosotros.

Las referencias a la normativa aplicable, vigente en el momento de redactar cada artículo, pueden no ser objeto de actualización cada vez que se produzca un cambio normativo.

Si te ha gustado nuestro artículo, nos ayudarás al compartirlo en redes sociales: